基于動(dòng)態(tài)瀏覽器指紋的鏈接檢測(cè)技術(shù)研究

高凡，王健，劉吉強(qiáng)

基于動(dòng)態(tài)瀏覽器指紋的鏈接檢測(cè)技術(shù)研究

高凡，王健，劉吉強(qiáng)

（北京交通大學(xué)智能交通數(shù)據(jù)安全與隱私保護(hù)技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室，北京 100044）

隨著用戶(hù)隱私泄露和網(wǎng)絡(luò)欺詐問(wèn)題的出現(xiàn)，傳統(tǒng)檢測(cè)機(jī)制已經(jīng)不能阻擋愈演愈烈的攻擊行為，需要新的技術(shù)手段輔助進(jìn)行Web安全檢測(cè)。作為溝通用戶(hù)與網(wǎng)絡(luò)數(shù)據(jù)的橋梁，瀏覽器廣泛應(yīng)用于用戶(hù)與各種應(yīng)用程序之間的交互，其中瀏覽器指紋包含用戶(hù)瀏覽器及設(shè)備等多種特征信息，其獨(dú)特性可以極大地提高用戶(hù)識(shí)別的準(zhǔn)確率。但是瀏覽器指紋隨時(shí)間不斷發(fā)生變動(dòng)，基于靜態(tài)指紋的研究方案難以滿(mǎn)足動(dòng)態(tài)指紋檢測(cè)的要求。針對(duì)這一問(wèn)題，為了提高動(dòng)態(tài)瀏覽器指紋的識(shí)別和鏈接檢測(cè)能力，從多維角度獲取參數(shù)并進(jìn)行篩選，得到細(xì)粒度和高區(qū)分度的特征進(jìn)行指紋檢測(cè)，防止過(guò)多不必要參數(shù)帶來(lái)的運(yùn)算代價(jià)，并將雙向門(mén)控循環(huán)單元（BiGRU，bidirectional gating recurrent unit）引入指紋檢測(cè)工作中，提出了基于堆疊BiGRU的動(dòng)態(tài)瀏覽器指紋鏈接檢測(cè)模型，解決了指紋檢測(cè)過(guò)程中忽略前后向信息交互導(dǎo)致的檢測(cè)精度不高的問(wèn)題，在準(zhǔn)確率和鏈接時(shí)長(zhǎng)等指標(biāo)上有了一定的提升。進(jìn)而針對(duì)不同特征參數(shù)的重要性不同，賦予相同權(quán)重會(huì)造成檢測(cè)誤差的問(wèn)題，結(jié)合注意力機(jī)制聚焦穩(wěn)定性更強(qiáng)的指紋特征，提出了基于Att-BiGRU的動(dòng)態(tài)瀏覽器指紋鏈接檢測(cè)模型，較堆疊BiGRU有了檢測(cè)能力上的優(yōu)化，進(jìn)一步提高了瀏覽器指紋的檢測(cè)準(zhǔn)確率，并在與基準(zhǔn)模型的綜合指標(biāo)對(duì)比結(jié)果中表現(xiàn)出了良好的鏈接能力。

瀏覽器指紋；動(dòng)態(tài)鏈接；攻擊檢測(cè)；注意力機(jī)制；Web安全

0 引言

科學(xué)技術(shù)的發(fā)展促進(jìn)著互聯(lián)網(wǎng)的不斷革新，網(wǎng)絡(luò)為人類(lèi)社會(huì)提供的便捷服務(wù)深刻改變了人們信息交互的方式。瀏覽器作為Web應(yīng)用的入口，是安全防護(hù)的薄弱環(huán)節(jié)，尤其作為向用戶(hù)提供服務(wù)的工具，攻擊者通過(guò)瀏覽器采用惡意手段竊取用戶(hù)隱私。例如，Cookie曾被用來(lái)解決用戶(hù)頻繁登錄同一網(wǎng)站時(shí)加載速度過(guò)慢的問(wèn)題，彌補(bǔ)了無(wú)狀態(tài)HTTP（HyperText transfer protocol）的局限性，但也常被廣告商用來(lái)獲取用戶(hù)的偏好信息[1-2]。Web開(kāi)發(fā)者為了抵御各類(lèi)安全威脅，通常根據(jù)用戶(hù)IP（Internet protocol）地址攔截特定訪(fǎng)問(wèn)，但I(xiàn)P易被修改和偽造。因此，需要一個(gè)有效的安全檢測(cè)方法，在提高互聯(lián)網(wǎng)安全性的同時(shí)將認(rèn)證過(guò)程對(duì)用戶(hù)的影響降到最低，防止惡意用戶(hù)訪(fǎng)問(wèn)。

瀏覽器指紋主要取決于自身的軟硬件參數(shù)進(jìn)行識(shí)別，是每個(gè)用戶(hù)獨(dú)一無(wú)二的數(shù)據(jù)。將瀏覽器指紋作為識(shí)別手段可以極大地提高用戶(hù)的識(shí)別率[3]，增強(qiáng)在線(xiàn)賬戶(hù)的安全性，如可以應(yīng)用到銀行等網(wǎng)站中，通過(guò)在登錄時(shí)驗(yàn)證用戶(hù)的瀏覽器指紋，系統(tǒng)可以輕松地阻止來(lái)自未知設(shè)備的未授權(quán)訪(fǎng)問(wèn)。瀏覽器指紋也可以應(yīng)用于反欺詐等風(fēng)控場(chǎng)景，由于收集到的屬性之間存在眾多依賴(lài)關(guān)系，因此可用來(lái)檢查指紋是否已被篡改，或者是否與指紋所屬的設(shè)備相匹配，由此區(qū)分普通用戶(hù)與欺詐用戶(hù)。

但是瀏覽器的不斷更新、用戶(hù)自行更改設(shè)備屬性選項(xiàng)或者使用了一系列反跟蹤軟件，均會(huì)導(dǎo)致瀏覽器指紋不斷發(fā)生變化，針對(duì)靜態(tài)指紋信息的解決方案可能在一段時(shí)間后就喪失了研究?jī)r(jià)值，因此需要更有效的方法進(jìn)行變動(dòng)指紋的識(shí)別。

綜合上述現(xiàn)狀及問(wèn)題，本文的主要工作內(nèi)容如下。

1) 從多維角度獲取瀏覽器指紋特征信息，減少特征單一造成的檢測(cè)誤差，并在分析后選取其中區(qū)分度高、細(xì)粒度和穩(wěn)定性強(qiáng)的屬性，防止過(guò)多不必要參數(shù)帶來(lái)的運(yùn)算代價(jià)。

2) 將雙向門(mén)控循環(huán)單元（BiGRU，bidirectional gating recurrent unit）引入指紋檢測(cè)工作中，提出基于動(dòng)態(tài)瀏覽器指紋的堆疊雙向門(mén)控循環(huán)單元檢測(cè)模型，通過(guò)前后序相互依賴(lài)提高檢測(cè)的準(zhǔn)確率，進(jìn)而提升鏈接動(dòng)態(tài)瀏覽器指紋的能力。

3) 考慮特征權(quán)重問(wèn)題，使用注意力機(jī)制調(diào)整模型關(guān)注點(diǎn)，聚焦閾值更高的特征屬性，提出Att-BiGRU模型適用于瀏覽器指紋的鏈接工作，減少噪聲污染，在綜合表現(xiàn)上進(jìn)一步提高瀏覽器指紋的檢測(cè)能力。

1 研究現(xiàn)狀

1.1 瀏覽器指紋

瀏覽器指紋識(shí)別首先由電子前沿基金會(huì)（EFF，Electronic Frontier Foundation）提出，Eckersley等[4]在大量瀏覽器樣本中收集了470 161個(gè)指紋，發(fā)現(xiàn)瀏覽器指紋可以更精確地顯示設(shè)備的多樣性。在瀏覽器指紋的概念出現(xiàn)之后，特征屬性由原先的Cookie擴(kuò)充到了User-Agent、Canvas等參數(shù)，瀏覽器指紋的部分特征示例如表1所示。

瀏覽器指紋常被用于多種目的，Laperdrix等[5]將瀏覽器指紋的使用分為兩大類(lèi)。

1) 負(fù)面應(yīng)用：未知的第三方通過(guò)偽造瀏覽器指紋假冒用戶(hù)獲取隱私信息，或者通過(guò)識(shí)別已知漏洞攻擊其設(shè)備。

2) 正面應(yīng)用：通過(guò)實(shí)時(shí)檢測(cè)和更新進(jìn)行用戶(hù)身份識(shí)別，防止惡意用戶(hù)欺詐，還可以通過(guò)驗(yàn)證設(shè)備為系統(tǒng)增強(qiáng)在線(xiàn)服務(wù)的安全性。

現(xiàn)有的研究工作主要聚焦于更改瀏覽器屬性特征以達(dá)到欺瞞跟蹤者的目的，進(jìn)而防止攻擊[6]。對(duì)于瀏覽器指紋帶來(lái)的惡意跟蹤問(wèn)題，Torres等[7]使用FP-Block的解決方案分離Web身份，瀏覽器連接不同站點(diǎn)時(shí)會(huì)呈現(xiàn)不同的指紋，從而防止跟蹤；Fiore等[8]根據(jù)以往的數(shù)據(jù)創(chuàng)建相似指紋，呈現(xiàn)偽造的一致性指紋對(duì)抗惡意檢測(cè)，但這兩類(lèi)研究的覆蓋范圍均不完整。Laperdrix等[9]將噪聲引入Canvas、AudioContext API等特征中，并隨機(jī)化JavaScript對(duì)象的枚舉順序以增加瀏覽器的不確定性；Wang等[10]將拉普拉斯噪聲注入低秩矩陣進(jìn)行指紋的隱私保護(hù)，減少指紋跟蹤的影響，但這類(lèi)方式的缺點(diǎn)是其他特征仍舊可以發(fā)揮作用，甚至特殊化參數(shù)在某種程度上使指紋更加突出。

通過(guò)修改指紋特征、引入噪聲或者使用Tor瀏覽器[11]的做法在某種程度上可以免受惡意跟蹤的困擾，但只能提供有限的保護(hù)，難度較大且會(huì)增加用戶(hù)操作的復(fù)雜度。因此，需要進(jìn)行瀏覽器指紋的安全檢測(cè)研究工作，并對(duì)瀏覽器指紋的識(shí)別驗(yàn)證現(xiàn)狀做進(jìn)一步介紹。

1.2 指紋識(shí)別驗(yàn)證

瀏覽器指紋是增強(qiáng)認(rèn)證的一個(gè)有效手段，如Bursztein等[12]設(shè)計(jì)的基于畫(huà)布指紋識(shí)別的名為Picasso的解決方案，不僅可以過(guò)濾非正常流量，還可以檢測(cè)出設(shè)備的瀏覽器和操作系統(tǒng)系列，查看指紋與實(shí)際設(shè)備之間是否存在不匹配的現(xiàn)象。Faiz-rhademi等[13]提出的FPGuard方法，能夠在運(yùn)行時(shí)檢測(cè)和預(yù)防瀏覽器指紋，通過(guò)收集并分析與指紋活動(dòng)有關(guān)的細(xì)粒度數(shù)據(jù)，進(jìn)而識(shí)別Web服務(wù)及在線(xiàn)行為。

2019年，有兩項(xiàng)相似的研究通過(guò)畫(huà)布指紋識(shí)別增強(qiáng)身份驗(yàn)證。Rochet等[14]為每個(gè)設(shè)備創(chuàng)建個(gè)性化模型，并使用深度學(xué)習(xí)算法為用戶(hù)建立二進(jìn)制分類(lèi)模型，在得分高于設(shè)置的特定閾值后才能驗(yàn)證。而Laperdrix等[15]在研究中要求當(dāng)前瀏覽器必須能夠渲染出與先前完全相同的Canvas，否則就會(huì)阻止當(dāng)前設(shè)備匹配，用戶(hù)只能使用其他方式進(jìn)行識(shí)別。但這兩項(xiàng)研究對(duì)特征的精度匹配要求很高，同時(shí)特征訓(xùn)練和提取不全面，識(shí)別不了變動(dòng)指紋。

如今一些從事在線(xiàn)安全檢測(cè)的企業(yè)已經(jīng)使用瀏覽器指紋來(lái)增強(qiáng)身份驗(yàn)證，如SecurAuth[16]作為自適應(yīng)訪(fǎng)問(wèn)控制解決方案的提供商，成功地構(gòu)建了通過(guò)設(shè)備指紋識(shí)別的基于啟發(fā)式的身份驗(yàn)證系統(tǒng)，該系統(tǒng)也使用了瀏覽器指紋作為多因素身份驗(yàn)證過(guò)程的一部分。Lovation公司擁有名為ClearKey[17]的解決方案，該解決方案將設(shè)備信息的收集作為其多因素身份驗(yàn)證框架的一部分進(jìn)行集成，提供了自己的方法來(lái)處理帶有模糊邏輯算法的指紋檢測(cè)。

瀏覽器指紋技術(shù)能夠辨別用戶(hù)的訪(fǎng)問(wèn)設(shè)備，在不增加用戶(hù)操作且不降低用戶(hù)體驗(yàn)的情況下增強(qiáng)認(rèn)證和訪(fǎng)問(wèn)的安全性。但需要注意的是，瀏覽器指紋的特征數(shù)據(jù)時(shí)常會(huì)發(fā)生變化，在一定的變化范圍之內(nèi)，為了能夠判別出新的指紋與已知庫(kù)中的指紋是否來(lái)源于同一瀏覽器，需要進(jìn)一步研究動(dòng)態(tài)瀏覽器指紋的鏈接工作。

1.3 指紋動(dòng)態(tài)鏈接

指紋是用戶(hù)設(shè)備和環(huán)境的直接反映，隨著系統(tǒng)更新或配置更改，瀏覽器指紋會(huì)經(jīng)常發(fā)生改變，因此需要具備了解這些變化并鏈接動(dòng)態(tài)指紋的能力。

指紋變化的原因主要分為以下幾點(diǎn)。

1) 自動(dòng)變化：如瀏覽器或內(nèi)置插件自動(dòng)升級(jí)更新。

2) 環(huán)境改變：如進(jìn)入不同的時(shí)區(qū)。

3) 用戶(hù)自定義設(shè)置：用戶(hù)更改某些選項(xiàng)，如清除Cookie、更換字體或禁用DNT等。

4) 使用反跟蹤操作：如使用某些擴(kuò)展程序混淆指紋，或者給指紋的某些特征增加噪聲（如FPRandom[9]中為Canvas和AudioContext引入了用戶(hù)無(wú)法察覺(jué)的噪聲），使指紋表現(xiàn)出了隨機(jī)性。

Eckersley[4]首次提出了指紋變動(dòng)問(wèn)題，使用算法將瀏覽器指紋特征進(jìn)行直接比較，估算待測(cè)指紋和原先指紋的演變關(guān)系，但該研究方法人為干預(yù)因素過(guò)多，不穩(wěn)定且準(zhǔn)確率過(guò)低。2016年，Alaca等[19]使用設(shè)備指紋進(jìn)行身份驗(yàn)證時(shí)，考慮穩(wěn)定性研究了指紋的差異接受度，由登錄系統(tǒng)決定是否接受版本更新或者字體被修改的設(shè)備，但只是簡(jiǎn)單地做了介紹，并沒(méi)有進(jìn)行深入探討和研究。

2018年，Vastel等[19]描述了瀏覽器指紋變化的頻繁程度，引出靜態(tài)規(guī)則與機(jī)器學(xué)習(xí)中的隨機(jī)森林相結(jié)合的算法FPStalker，追蹤瀏覽器指紋的演變過(guò)程。在此基礎(chǔ)上，Li等[20]提出通過(guò)將新指紋鏈接到上一個(gè)指紋來(lái)提高瀏覽器指紋的穩(wěn)定性，使用長(zhǎng)短期記憶網(wǎng)絡(luò)模型來(lái)學(xué)習(xí)瀏覽器指紋不斷變動(dòng)的潛在關(guān)系。Li等[21]在Gomez-Boix工作的基礎(chǔ)上，首次對(duì)數(shù)百萬(wàn)個(gè)指紋數(shù)據(jù)進(jìn)行了大規(guī)模的研究，分析了瀏覽器指紋的隱私和安全問(wèn)題，并強(qiáng)調(diào)研究動(dòng)態(tài)瀏覽器指紋的重要性。

結(jié)合以上研究工作，考慮到指紋特征之間的依賴(lài)關(guān)系和動(dòng)態(tài)指紋的鏈接問(wèn)題，本文對(duì)動(dòng)態(tài)瀏覽器指紋進(jìn)行檢測(cè)技術(shù)研究。

2 基于動(dòng)態(tài)指紋的鏈接檢測(cè)

2.1 特征篩選

瀏覽器指紋屬性繁多，在檢測(cè)用戶(hù)并鏈接瀏覽器實(shí)例的過(guò)程中，過(guò)多的特征參數(shù)會(huì)引入噪聲，導(dǎo)致實(shí)驗(yàn)的魯棒性偏低，同時(shí)會(huì)增加不必要的運(yùn)算代價(jià)。因此，從設(shè)備、操作系統(tǒng)、瀏覽器和用戶(hù)配置等多維角度獲取瀏覽器指紋特征屬性并分析，提取出符合以下要素的特征。

（1）可區(qū)分度高

盡量選擇區(qū)分度比較高的特征，至少能從數(shù)千臺(tái)設(shè)備中標(biāo)識(shí)某一設(shè)備，即使指紋被仿冒也能夠從中檢測(cè)出來(lái)，增強(qiáng)安全性。因此引入信息熵[22]的概念來(lái)衡量指紋特征的區(qū)分度，信息熵可以作為參數(shù)信息的量化指標(biāo)，特征參數(shù)越復(fù)雜，不同瀏覽器指紋之間出現(xiàn)相同情況的概率越小，信息熵越大。瀏覽器指紋特征熵值示例如表2所示。

表2 瀏覽器指紋特征熵值示例

（2）細(xì)粒度

瀏覽器特征中包含一定的冗余信息，因此特征提取時(shí)需要對(duì)冗余信息進(jìn)行過(guò)濾，對(duì)粗粒度信息進(jìn)行分割，提取細(xì)粒度的數(shù)據(jù)作為特征參數(shù)。

例如，GPU和navigator.vendor中均包含供應(yīng)商等相關(guān)信息，需要在比較后篩除重復(fù)數(shù)據(jù)；User-Agent包含的信息量較大，需要使用User-Agent解析庫(kù)對(duì)其進(jìn)行分解，得到瀏覽器、操作系統(tǒng)和是否為PC端等信息；Canvas、WebGL等字符串表示復(fù)雜，需要使用哈希雜湊進(jìn)行處理；Use of DNT等特征參數(shù)簡(jiǎn)單，可以直接數(shù)值化操作等。

（3）穩(wěn)定性

在考慮瀏覽器指紋時(shí)常變化的情況下，需要保留一部分信息量低但穩(wěn)定性較強(qiáng)的特征屬性。針對(duì)瀏覽器指紋發(fā)生變化后產(chǎn)生的一系列問(wèn)題，對(duì)指紋屬性值中的變化進(jìn)行分析，選取合理的特征。例如，Use of LocalStorage、Use of SeesionStorage等參數(shù)，用戶(hù)基本不會(huì)對(duì)其改動(dòng)，這些特征作為保留數(shù)據(jù)可以在檢測(cè)初期幫助篩除不匹配的指紋數(shù)據(jù)。

在考慮上述3種要素的基礎(chǔ)上，最終提取出User-Agent、Accept、Cookies、Language、Canvas等25種特征進(jìn)行后續(xù)實(shí)驗(yàn)。

2.2 基于堆疊BiGRU的動(dòng)態(tài)指紋鏈接檢測(cè)

考慮到瀏覽器指紋的動(dòng)態(tài)鏈接中有時(shí)間序列關(guān)系，經(jīng)過(guò)分析后選用雙向循環(huán)神經(jīng)網(wǎng)絡(luò)進(jìn)行瀏覽器指紋檢測(cè)：通過(guò)前序影響后序判斷特征的相似度從而將待測(cè)指紋鏈接到現(xiàn)有指紋鏈中，通過(guò)后序影響前序判斷鏈接的合理性?？紤]到過(guò)擬合及運(yùn)算代價(jià)問(wèn)題，使用雙向門(mén)控循環(huán)單元進(jìn)行算法的改進(jìn)，提出基于堆疊BiGRU的動(dòng)態(tài)瀏覽器指紋檢測(cè)模型，提高模型的魯棒性，減少特征順序?qū)δＰ偷挠绊?，引入Dropout算法提高模型的泛化能力?；诙询BBiGRU的瀏覽器指紋鏈接流程如圖1所示。

2.2.1 指紋篩選

一個(gè)用戶(hù)的全部瀏覽器指紋應(yīng)構(gòu)成一條指紋鏈，但瀏覽器指紋會(huì)隨配置更改不斷發(fā)生變動(dòng)，為了更好地鏈接瀏覽器指紋的動(dòng)態(tài)變化過(guò)程，同一指紋鏈需存在多條指紋數(shù)據(jù)進(jìn)行訓(xùn)練。因此，篩除指紋數(shù)據(jù)庫(kù)中鏈長(zhǎng)度小于6的瀏覽器指紋，并對(duì)指紋鏈接進(jìn)行初步的規(guī)則限制：同一指紋鏈中的所有指紋數(shù)據(jù)需要保持操作系統(tǒng)和瀏覽器類(lèi)型的穩(wěn)定；對(duì)Use of LocalStorage、CookiesEnable、Use of DNT等特征的設(shè)置需相同；Canvas值保持一致；Fonts參數(shù)信息有交集；User-Agent、Vendor、Plugins、Language、Accept等特征變化在一定相似性范圍內(nèi)等。

圖1 基于堆疊BiGRU的瀏覽器指紋鏈接流程

Figure 1 The flow of browser fingerprint link based on stacked BiGRU

在以上規(guī)則的基礎(chǔ)上，將待測(cè)指紋與指紋數(shù)據(jù)庫(kù)中的已知指紋進(jìn)行對(duì)比，如算法1所示。

算法1 指紋匹配規(guī)則算法

輸入 原始指紋數(shù)據(jù)集

輸出 匹配的指紋id或者篩選后的指紋數(shù)據(jù)集sub

開(kāi)始

Function:

Rules={rule1,rule2,...}

if verifyRules(f,f, Rules) then

if NumberofDiff = 0 then

pre←pre∪ <f>

else

sub←sub∪ <f>

end if

end if

end for

if|pre| > 0 and sameIds(pre) then

returnpre[0].id

else if |sub| > 0 then

return Fuction_BiGRU

else

return generateNewId()

end if

end function

其中，為原始指紋數(shù)據(jù)集，f為待測(cè)的未知指紋，f為指紋庫(kù)中某個(gè)待比較的瀏覽器指紋，sub為粗略篩選后的數(shù)據(jù)集，pre為精確匹配的數(shù)據(jù)集合。

在檢驗(yàn)待測(cè)指紋f是否屬于已知指紋庫(kù)中的某條指紋鏈時(shí)，先在已有規(guī)則條件下遍歷指紋庫(kù)中的每條指紋數(shù)據(jù)。如果符合規(guī)則，則判斷未知指紋f和已知指紋f的相似度，如果二者之間完全匹配，則將該指紋置于精確匹配的pre集合；否則將其置于候選指紋集合sub。倘若精確匹配的pre集合中僅存在1條指紋數(shù)據(jù)，則直接返回該指紋數(shù)據(jù)的id；如果pre集合中指紋數(shù)量大于1，則比較集合中所有指紋的id是否一致，相同時(shí)直接返回歷史id，表明待測(cè)指紋f屬于該瀏覽器實(shí)例，可以成功鏈接到指紋鏈上。但如果是候選集合sub中存在指紋數(shù)，則進(jìn)入BiGRU模型中繼續(xù)判斷。如果待測(cè)指紋完全不符合現(xiàn)有的篩選規(guī)則，則說(shuō)明指紋數(shù)據(jù)庫(kù)中沒(méi)有待測(cè)指紋的歷史數(shù)據(jù)，需要生成一條新的指紋鏈，并賦予其新的指紋id。

2.2.2 雙向門(mén)控循環(huán)單元

瀏覽器指紋數(shù)據(jù)特征繁多，且隨時(shí)間和配置更改等因素變動(dòng)較大，考慮到時(shí)間序列及單向網(wǎng)絡(luò)會(huì)受到指紋數(shù)據(jù)順序影響，采用可以減少過(guò)擬合風(fēng)險(xiǎn)的雙向門(mén)控循環(huán)單元進(jìn)行指紋檢測(cè)。

雙向門(mén)控循環(huán)單元相較于單向門(mén)控循環(huán)單元增加了從后向前傳輸數(shù)據(jù)的隱藏層，每一次輸入都包含正向時(shí)間步和逆向時(shí)間步的GRU，輸出由兩個(gè)方向的GRU同時(shí)決定。

其中，WWW為權(quán)重系數(shù)，bb為某時(shí)刻隱藏狀態(tài)對(duì)應(yīng)的偏差。

將BiGRU應(yīng)用到動(dòng)態(tài)瀏覽器指紋檢測(cè)中，首先，進(jìn)行規(guī)則篩選后的指紋鏈均含有至少6條瀏覽器指紋數(shù)據(jù)，將當(dāng)前時(shí)間步時(shí)刻的指紋鏈以從后向前（即從新到舊）的順序進(jìn)行兩兩比較，設(shè)X為{1,2,...,x}，指的是時(shí)刻的待測(cè)指紋f與已知指紋f之間各個(gè)特征屬性值的相似性結(jié)果，設(shè)X?1指的是指紋f?1與指紋f2之間屬性值的相似性結(jié)果，設(shè)X?2指的是指紋f2與指紋f?3之間屬性值的相似性結(jié)果，將{X?2,X?1,X}作為特征輸入向量。其次，引入堆疊BiGRU模型，在本文實(shí)驗(yàn)中3層效果比單層和雙層BiGRU明顯，超過(guò)3層難以訓(xùn)練。堆疊BiGRU的每一隱藏層包含不同的神經(jīng)元，并對(duì)每一層細(xì)胞的記憶狀態(tài)進(jìn)行重置。將第一層時(shí)間步的隱藏輸出作為第二層時(shí)間步的隱藏輸入，以此類(lèi)推，將最后一個(gè)隱藏層的輸出作為輸出向量。將經(jīng)過(guò)指紋篩選之后得到的候選集合sub處理后放入堆疊BiGRU模型中進(jìn)行訓(xùn)練，進(jìn)而判斷待測(cè)指紋f與sub集合中數(shù)據(jù)的相似度。

2.2.3 Dropout算法

為了進(jìn)一步減少模型過(guò)擬合的發(fā)生，達(dá)到正則化的效果，本文使用Dropout算法，減輕神經(jīng)元之間的共適應(yīng)性。

Dropout是通過(guò)隨機(jī)忽略的方式來(lái)減少隱藏節(jié)點(diǎn)之間的相互作用，在前向傳播的過(guò)程中使具有一定概率的神經(jīng)元停止工作，從而在訓(xùn)練過(guò)程不會(huì)太依賴(lài)局部特征，使復(fù)雜神經(jīng)網(wǎng)絡(luò)在訓(xùn)練非大容量數(shù)據(jù)集時(shí)也能很好防止過(guò)擬合并提高模型的效率，Dropout算法示意如圖2所示。

圖2 Dropout算法示意

Figure 2 Schematic diagram of Dropout algorithm

在模型的訓(xùn)練階段，標(biāo)準(zhǔn)神經(jīng)網(wǎng)絡(luò)的計(jì)算公式如下：

設(shè)置概率，則引入Dropout算法的神經(jīng)網(wǎng)絡(luò)計(jì)算式：

其中，Bernoulli為伯努利隨機(jī)分布函數(shù)，通過(guò)概率隨機(jī)生成一個(gè)0-1概率向量，r表示網(wǎng)絡(luò)的權(quán)重參數(shù)，b為偏差。在模型測(cè)試階段，每個(gè)神經(jīng)元的權(quán)重參數(shù)均需乘以。

Dropout算法提升了模型的精度，使神經(jīng)網(wǎng)絡(luò)稀疏化，減輕了部分特征的強(qiáng)依賴(lài)關(guān)系，學(xué)習(xí)更加魯棒的特征。本文研究在進(jìn)行指紋檢測(cè)過(guò)程時(shí)，將Dropout的概率值設(shè)置為0.3，更好地提高模型的魯棒性，有效防止過(guò)擬合。

2.2.4 結(jié)果輸出

在全連接層使用Sigmoid激活函數(shù)激活，根據(jù)輸出的概率與閾值比較，判斷該待測(cè)指紋f是否屬于已知的指紋鏈。高于閾值則為同一條指紋鏈，否則不屬于已知的指紋鏈，需要?jiǎng)?chuàng)建新的瀏覽器實(shí)例。

在算法2指紋匹配規(guī)則的基礎(chǔ)上，后續(xù)偽代碼描述如算法2所示。

算法2 基于堆疊BiGRU的指紋鏈接算法

輸入 篩選后的指紋數(shù)據(jù)集sub

輸出 匹配的指紋id

開(kāi)始

Function:

<X?2,X?1,X>=featureVector(f,f)

← PBiGRU(f.id =f.id|<X?2,X?1,X>)

candidates=candidates∪ <f,>

else

return gererateNewId()

end if

end for

if |candidates| > 0 and sameIds(candidates) then

return candidates[0].id

else

return gererateNewId()

end if

end function

2.3 實(shí)驗(yàn)分析

2.3.1 實(shí)驗(yàn)環(huán)境

本實(shí)驗(yàn)在配置Tensorflow環(huán)境的Pycharm professional中進(jìn)行，實(shí)現(xiàn)配置如表3所示。

2.3.2 數(shù)據(jù)集

本文實(shí)驗(yàn)數(shù)據(jù)集起初通過(guò)開(kāi)源的Fingerprintjs2自行獲取，但由于瀏覽器指紋的特征提取會(huì)侵犯用戶(hù)的隱私，因此數(shù)據(jù)獲取只能在周邊小范圍內(nèi)進(jìn)行。同時(shí)時(shí)間特征持續(xù)檢測(cè)的周期要求比較長(zhǎng)，持續(xù)時(shí)間不足會(huì)導(dǎo)致實(shí)驗(yàn)結(jié)果缺乏可行性，考慮到最終收集到的指紋數(shù)據(jù)量很小（僅有84個(gè)用戶(hù)參與采集過(guò)程）、持續(xù)時(shí)間比較短的現(xiàn)實(shí)因素，結(jié)合開(kāi)源數(shù)據(jù)集進(jìn)行后續(xù)實(shí)驗(yàn)。

表3 實(shí)驗(yàn)配置

由于上述提到的隱私問(wèn)題，關(guān)于瀏覽器指紋的開(kāi)源數(shù)據(jù)集很少，最終本文選用Github上的開(kāi)源數(shù)據(jù)，并對(duì)其進(jìn)行相應(yīng)處理。該數(shù)據(jù)集的收集時(shí)間長(zhǎng)達(dá)兩年，共有近2 000個(gè)志愿者參與，公開(kāi)數(shù)據(jù)集共15 000條。同時(shí)，由于實(shí)驗(yàn)需要對(duì)瀏覽器實(shí)例進(jìn)行檢測(cè)，因此對(duì)數(shù)據(jù)集中的每條數(shù)據(jù)標(biāo)注id序列，相同的id表明來(lái)源于同一指紋鏈，經(jīng)過(guò)篩除不符合規(guī)則及指紋長(zhǎng)度小于6的數(shù)據(jù)后，最終用于實(shí)驗(yàn)的數(shù)據(jù)集共4 803條瀏覽器指紋。

2.3.3 實(shí)驗(yàn)結(jié)果分析

本文的基準(zhǔn)模型為首次提出動(dòng)態(tài)指紋概念的Eckersley算法，結(jié)合隨機(jī)森林的FPStalker算法以及改進(jìn)的LSTM算法，由于需要檢測(cè)動(dòng)態(tài)瀏覽器指紋的鏈接情況，本實(shí)驗(yàn)首先從拆分鏈數(shù)量、鏈接時(shí)長(zhǎng)和所有權(quán)比率指標(biāo)進(jìn)行評(píng)估。

（1）拆分鏈數(shù)量

期望將同一用戶(hù)同一瀏覽器的所有指紋數(shù)據(jù)鏈接到同一鏈上，但現(xiàn)實(shí)會(huì)由于更改配置等，指紋差距過(guò)大被拆分為多個(gè)鏈，這種情況下，拆分鏈越少意味著鏈接檢測(cè)效果越好，因此將拆分鏈數(shù)量作為評(píng)價(jià)指標(biāo)之一。拆分鏈數(shù)量對(duì)比如圖3所示。從圖3可以看出，Eckersley算法將指紋鏈分裂成多條，甚至在初始能夠達(dá)到14條左右，穩(wěn)定性比較差；LSTM比Eckersley在初始值有所降低，但伴隨時(shí)間的增長(zhǎng)會(huì)反超Eckersley成為拆分?jǐn)?shù)量最多的模型；FPStalker在對(duì)比實(shí)驗(yàn)中表現(xiàn)最好，數(shù)目基本穩(wěn)定在兩條；而本文提出的堆疊BiGRU模型產(chǎn)生的拆分鏈數(shù)量比Eckersley和LSTM少，多于FPStlaker，為4條左右。

Figure 3 The comparison of the number of split chains

（2）鏈接時(shí)長(zhǎng)

鏈接時(shí)長(zhǎng)表明能夠追蹤到的指紋時(shí)間。鏈接時(shí)間越長(zhǎng)表明指紋動(dòng)態(tài)變化產(chǎn)生的副作用越小，能夠持續(xù)追蹤到指紋的變化過(guò)程，將變化后的瀏覽器指紋鏈接到原有指紋鏈上。

在拆分鏈的基礎(chǔ)上，同一條瀏覽器指紋鏈可能被拆分為多條子鏈，本文將最長(zhǎng)拆分鏈的鏈接時(shí)間作為衡量數(shù)據(jù)進(jìn)行對(duì)比。例如，用戶(hù)A的第一條鏈A1-A2-A3為兩個(gè)時(shí)間間隔（即2T），第二條鏈A4-A5-A6-A7為3個(gè)時(shí)間間隔（即3T），則最長(zhǎng)鏈接時(shí)間為3T，以此類(lèi)推。如圖4所示，BiGRU模型的最長(zhǎng)鏈接時(shí)間優(yōu)于LSTM和Eckersley，但與FPStalker相比有所差距。

Figure 4 The comparison of maximum linking time

（3）所有權(quán)比率

所有權(quán)意味著一條指紋鏈上是否只含有同一用戶(hù)的指紋數(shù)據(jù)，如果摻雜其他用戶(hù)的指紋，說(shuō)明指紋鏈被污染，所有權(quán)比率將會(huì)下降，因此將其作為評(píng)價(jià)指標(biāo)之一。即指紋鏈A中只有用戶(hù)A的指紋數(shù)據(jù)，則A的所有權(quán)比率為1，但如果錯(cuò)誤地將用戶(hù)B的指紋數(shù)據(jù)鏈接到A指紋鏈上，則A的所有權(quán)比率會(huì)下降。例如，A指紋鏈中有100條指紋數(shù)據(jù)，但是其中只有90條是A自身的正確數(shù)據(jù)，其余10條來(lái)源于B或C等其他指紋鏈，那么A的所有權(quán)比率為90/100=0.90。

所有權(quán)比率對(duì)比如圖5所示，可以看出LSTM在所有權(quán)指標(biāo)中表現(xiàn)最好，鏈接出錯(cuò)的概率最低；堆疊BiGRU的效果次之，但隨時(shí)間的增加趨近于LSTM的概率走向；FPStalker對(duì)比LSTM和BiGRU的所有權(quán)比率有所下降，表明在檢測(cè)過(guò)程中會(huì)將部分指紋數(shù)據(jù)錯(cuò)誤匹配；Eckersley由于是最早提出應(yīng)用于動(dòng)態(tài)指紋檢測(cè)的算法模型，結(jié)構(gòu)比較簡(jiǎn)單，在鏈接過(guò)程中錯(cuò)誤率最高。

圖5 所有權(quán)比率對(duì)比

Figure 5 The comparison of ownership rate

3 動(dòng)態(tài)指紋鏈接檢測(cè)算法優(yōu)化

3.1 基于Att-BiGRU的動(dòng)態(tài)指紋鏈接算法

瀏覽器特征種類(lèi)繁多，但不同特征參數(shù)對(duì)指紋檢測(cè)工作的貢獻(xiàn)程度不同，如Canvas及Accept等，由于這些特征參數(shù)的信息熵較高，不同指紋之間特征的相似度低，因此可以賦予更高的權(quán)重。而Use of LocalStorage及DNT等特征可以在檢測(cè)初期進(jìn)行篩選，但不能很好地進(jìn)一步區(qū)分指紋信息，因此賦予較小的權(quán)重。本文進(jìn)一步提出基于注意力機(jī)制的BiGRU模型適用于瀏覽器指紋的鏈接工作，聚焦區(qū)分度和閾值高的特征參數(shù)，賦予特征不同的概率偏重，提高模型檢測(cè)的精確度。

Att-BiGRU模型主要分為特征數(shù)據(jù)輸入層、隱含層以及輸出層。而隱含層包含BiGRU層、注意力機(jī)制（Attention）層及Dense層，基于Att-BiGRU模型的瀏覽器指紋鏈接流程如圖6所示。

首先，在模型的輸入層對(duì)瀏覽器指紋數(shù)據(jù)進(jìn)行篩選，指紋篩選流程如上文所示，將待測(cè)指紋f與指紋庫(kù)中的數(shù)據(jù)f進(jìn)行匹配，得到篩選后的指紋數(shù)據(jù)集sub，并將指紋數(shù)據(jù)處理為特征向量形式。其次，BiGRU由前向GRU和反向GRU構(gòu)成，將上一時(shí)間步隱藏層狀態(tài)h?1傳輸?shù)较乱浑[藏層狀態(tài)，將時(shí)間序列關(guān)聯(lián)起來(lái)，并對(duì)輸入特征向量進(jìn)行更深層次的訓(xùn)練和提取。

圖6 基于Att-BiGRU模型的瀏覽器指紋鏈接流程

Figure 6 The flow chart of browser fingerprint link based on Att-BiGRU model

使用注意力機(jī)制專(zhuān)注于區(qū)分度更高和唯一性更強(qiáng)的指紋特征數(shù)據(jù)，對(duì)BiGRU產(chǎn)生的隱藏層輸出賦予對(duì)應(yīng)的概率權(quán)重進(jìn)行后續(xù)的模型應(yīng)用。調(diào)整模型的關(guān)注點(diǎn)，并對(duì)其進(jìn)行加權(quán)平均，即得到每個(gè)時(shí)間步隱藏狀態(tài)的隱含表示u，再將其與初始化注意力矩陣u相乘，通過(guò)softmax函數(shù)獲取到歸一化權(quán)重a，最后將隱藏狀態(tài)值h與獲取到的權(quán)重a求和得到注意力機(jī)制表示計(jì)算公式如下。

其中，w為權(quán)重系數(shù)，b為誤差偏置系數(shù)，tanh和softmax是采用的激活函數(shù)。

Dense層將上層輸出的指紋信息經(jīng)過(guò)非線(xiàn)性變化提取特征之間的關(guān)聯(lián)，并通過(guò)全連接層映射到輸出空間。在Attention層和Dense層之間添加Dropout算法隨機(jī)選取隱藏層神經(jīng)元節(jié)點(diǎn)，進(jìn)一步防止過(guò)擬合，增強(qiáng)指紋檢測(cè)模型的魯棒性，同時(shí)減少計(jì)算量。在全連接層使用adam優(yōu)化器，利用softmax函數(shù)進(jìn)行計(jì)算得到最終值，計(jì)算公式如下。

3.2 實(shí)驗(yàn)分析

本文實(shí)驗(yàn)對(duì)瀏覽器指紋在準(zhǔn)確率和損失變化、拆分鏈數(shù)量、鏈接時(shí)長(zhǎng)和所有權(quán)比率指標(biāo)上進(jìn)行模型對(duì)比。

（1）準(zhǔn)確率和損失變化

Att-BiGRU指紋檢測(cè)模型的訓(xùn)練集和測(cè)試集在準(zhǔn)確率結(jié)果中隨著訓(xùn)練次數(shù)的增加呈現(xiàn)出明顯的上升趨勢(shì)。如圖7所示，該模型在前7輪次時(shí)的訓(xùn)練和測(cè)試效果不如堆疊BiGRU模型，但是隨著輪次增加，測(cè)試集效果有了明顯提高。Att-BiGRU模型訓(xùn)練集的準(zhǔn)確率在該輪次內(nèi)最高為0.983 1，測(cè)試集的準(zhǔn)確率最高為0.996 0，相較BiGRU模型有所提升，訓(xùn)練效果良好。

圖7 Att-BiGRU模型準(zhǔn)確率變化情況

Figure 7 The change of the accuracy of Att_BiGRU model

同時(shí)，在損失變化表現(xiàn)中呈現(xiàn)明顯的下降趨勢(shì)，如圖8所示。其中Att-BiGRU模型訓(xùn)練集的損失變化最低為0.057 3，測(cè)試集的損失變化最低為0.026 0。

圖8 Att-BiGRU模型損失變化情況

Figure 8 The loss change of Att-BiGRU model

（2）拆分鏈數(shù)量

在拆分鏈數(shù)量的比較中，圖9顯示引進(jìn)注意力機(jī)制的Att-BiGRU模型比堆疊BiGRU模型效果更好，考慮到注意力機(jī)制能夠關(guān)注更重要的特征參數(shù)，減少了噪聲污染，能夠?qū)⒅讣y鏈拆分為更少的數(shù)量，處于3～4條的狀態(tài)區(qū)間。

（3）鏈接時(shí)長(zhǎng)

最長(zhǎng)鏈接時(shí)間即瀏覽器指紋拆分鏈中最長(zhǎng)子鏈的持續(xù)時(shí)長(zhǎng)。如圖10所示，Att-BiGRU模型的最長(zhǎng)鏈接時(shí)間優(yōu)于堆疊BiGRU和LSTM，僅次于FPStalker。

圖9 拆分鏈數(shù)量對(duì)比

Figure 9 The comparison of the number of split chains

圖10 最長(zhǎng)鏈接時(shí)間對(duì)比

Figure 10 The comparison of maximum linking time

（4）所有權(quán)比率

所有權(quán)比率代表指紋鏈的純凈程度，用來(lái)評(píng)估是否僅包含相同用戶(hù)的指紋數(shù)據(jù)。如圖11所示，Att-BiGRU模型的所有權(quán)比率相比BiGRU有一定提升，說(shuō)明指紋鏈被污染的概率降低，識(shí)別變動(dòng)指紋時(shí)出現(xiàn)混雜數(shù)據(jù)的情況有所改善，并隨著時(shí)間的增長(zhǎng)逐漸接近LSTM的比率。

圖11 所有權(quán)對(duì)比

Figure 11 The comparison of ownership

（5）運(yùn)行時(shí)間

在進(jìn)行模型運(yùn)算時(shí)，指紋鏈長(zhǎng)度和模型本身的復(fù)雜程度等導(dǎo)致運(yùn)行時(shí)間不斷攀升，如圖12所示。其中，F(xiàn)PStalker由于劃分大量決策樹(shù)導(dǎo)致運(yùn)行時(shí)間最久，堆疊BiGRU檢測(cè)模型由于深度網(wǎng)絡(luò)計(jì)算，運(yùn)行時(shí)間多于LSTM；由于復(fù)雜模型的應(yīng)用，Att-BiGRU模型的運(yùn)行時(shí)間比BiGRU稍久，但總體仍?xún)?yōu)于FPStalker。

圖12 運(yùn)行時(shí)間對(duì)比

Figure 12 The comparison of running time

3.3 整體分析

在引入注意力機(jī)制的Att-BiGRU模型中，準(zhǔn)確率和損失變化較之前模型有所改善，同時(shí)能夠?qū)⒅讣y鏈拆分為更少的數(shù)量，提高了追蹤動(dòng)態(tài)瀏覽器指紋的鏈接時(shí)間。雖然在拆分鏈數(shù)量和鏈接時(shí)長(zhǎng)指標(biāo)上沒(méi)有FPStalker算法表現(xiàn)突出，但考慮到FPStalker將部分指紋數(shù)據(jù)鏈接到了不匹配的指紋鏈中，準(zhǔn)確性相對(duì)較低。本文提出的堆疊BiGRU和Att-BiGRU模型在所有權(quán)指標(biāo)中表現(xiàn)比較穩(wěn)定，盡管稍低于LSTM，但LSTM在鏈接時(shí)長(zhǎng)和拆分鏈數(shù)量的評(píng)估指標(biāo)中表現(xiàn)不佳。綜合衡量，本文提出的基于動(dòng)態(tài)瀏覽器指紋的檢測(cè)模型在各個(gè)指標(biāo)中的整體表現(xiàn)最為優(yōu)越，Att-BiGRU模型較BiGRU模型有一定提升，在模型訓(xùn)練和指紋檢測(cè)實(shí)驗(yàn)中準(zhǔn)確率更高。雖然本文實(shí)驗(yàn)盡所能地注意到運(yùn)算代價(jià)的問(wèn)題，但是為了提高鏈接時(shí)長(zhǎng)及準(zhǔn)確率，引入的BiGRU模型及注意力機(jī)制等算法會(huì)提升運(yùn)算代價(jià)，因此運(yùn)行時(shí)間有待改進(jìn)。

4 結(jié)束語(yǔ)

本文針對(duì)瀏覽器指紋在更改配置或受到外界干擾后會(huì)發(fā)生變動(dòng)的問(wèn)題，提出了基于堆疊BiGRU的動(dòng)態(tài)瀏覽器指紋鏈接檢測(cè)模型，通過(guò)前后序相互依賴(lài)識(shí)別不斷變動(dòng)的指紋數(shù)據(jù)，提升鏈接動(dòng)態(tài)指紋的能力。并進(jìn)一步使用注意力機(jī)制對(duì)指紋特征賦予不同權(quán)重，關(guān)注區(qū)分度和信息熵更高的參數(shù)，提出Att-BiGRU指紋鏈接檢測(cè)模型。實(shí)驗(yàn)結(jié)果表明，Att-BiGRU模型較堆疊BiGRU模型更關(guān)注關(guān)鍵信息，減少了噪聲污染，在綜合表現(xiàn)上進(jìn)一步提升檢測(cè)能力。

本文工作還有很多可以探討和精進(jìn)的空間。首先，本文實(shí)驗(yàn)過(guò)程中涉及的數(shù)據(jù)只包含PC端信息，后續(xù)可以引入移動(dòng)端數(shù)據(jù)進(jìn)行擴(kuò)展研究。其次，本文工作并沒(méi)有從真正意義上實(shí)現(xiàn)跨瀏覽器指紋識(shí)別，需要更多硬件設(shè)備上的輔助信息進(jìn)行更深入的指紋檢測(cè)。最后，在指紋檢測(cè)過(guò)程中，可以考慮將指紋數(shù)據(jù)轉(zhuǎn)化為圖像進(jìn)行鏈接。研究過(guò)程中做了一部分將csv（comma-separated values）中的指紋數(shù)據(jù)轉(zhuǎn)化為圖像的工作，但由于預(yù)處理過(guò)程中丟失了很多參數(shù)信息，不能很好地衡量鏈接能力，需要探討其他方案。

[1] PAPADOPOULOS P, KOURTELLIS N, MARKATOS E P. Cookie Synchronization: everything you always wanted to know but were afraid to ask[C]//World Wide Web Conference. 2019: 1432-1442.

[2] XUEHUI H, NISHANTH S. Characterising third PARTY cookie usage in the EU after GDPR[C]//ACM Conference on Web Science. 2019: 137-141.

[3] ANDRIAMILANTO N, ALLARD T, GUELVOUIT G L. “Guess who?” large-scale data-centric study of the adequacy of browser fingerprints for web authentication[J]. Innovative Mobile and Internet Services in Ubiquitous Computing (IMIS), 2021, 7: 161-172.

[4] ECKERSLEY P. How unique is your web browser[C]//Proceedings of the 2010 Privacy Enhancing Technologies Symposium. 2010: 1-18.

[5] LAPERDRIX P, NATALIIA B, BENOIT B, et al. Browser fingerprinting: a survey[J]. ACM Trans, 2020, 14(2): 1-33.

[6] ANDRIAMILANTO N, ALLARD T, GUELVOUIT G L. FPSelect: low-cost browser fingerprints for mitigating dictionary attacks against web authentication mechanisms[C]//Annual Computer Security Applications Conference (ACSAC '20). 2020: 627-642.

[7] TORRES C, HUGO J, SJOUKE M. FP-Block: usable Web privacy by controlling browser fingerprinting[C]//Proceedings of the 20th European Symposium on Research in Computer Security, 2015: 3-19.

[8] FIORE U, ANIELLO C, ALFREDO D, et al. Countering browser fingerprinting techniques: constructing a fake profile with Google Chrome[C]//Proceedings of the 17th International Conference on Network-Based Information Systems. 2014: 355-360.

[9] LAPERDRIX P, BENOIT B, VIKAS M. FPRandom: randomizing core browser objects to break advanced device fingerprinting techniques[C]//Proceedings of the 9th International Symposium on Engineering Secure Software and Systems. 2017: 97-114.

[10] WANG C, DANI J, LI X, et al. Adaptive fingerprinting: website fingerprinting over few encrypted traffic[C]//Proceedings of the Eleventh ACM Conference on Data and Application Security and Privacy (CODASPY '21). 2021: 149-160.

[11] Saito. Tor fingerprinting: Tor browser can mitigate browser fingerprinting?[C]//International Conference on Network-Based Information Systems, 2017:. 504-517.

[12] BURSZTETN E, ARTEM M, TADEK P, et al. Picasso: lightweight device class fingerprinting for Web clients[C]//Proceedings of the 6th Workshop on Security and Privacy in Smartphones and Mobile Devices. 2016: 93-102.

[13] FAIZ-RHADEMI A, MOHAMMAD Z, KOMMINIST W. FPGuard: detection and prevention of browser fingerprinting[C]//Proceedings of the 29th Data and Applications Security and Privacy Conference. 2015: 293-308.

[14] ROCHET F, KYRIAKOS E, OLIVIER P. SWAT: Seamless Web authentication technology[C]//Proceedings of the World Wide Web Conference. 2019: 1579-1589.

[15] LAPERDRIX P, GILDAS A, NICK N. Morellian analysis for browsers: making web authentication stronger with canvas fingerprinting[C]//Proceedings of the 16th International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. 2019: 43-66.

[16] SecurAuth. Device/Browser fingerprinting-heuristic-based authentication[EB]. 2018.

[17] Iovation. ClearKey[EB]. 2018.

[18] ALACA F, VAN O. Device fingerprinting for augmenting web authentication: Classification and analysis of methods[C]//Proeed- gs of the 32nd Annual Conference on Computer Security Applications. 2016: 289-301.

[19] VASTEL A, PIERRE L, ROMAIN R. FP-STALKER: tracking browser fingerprint evolutions[C]//Proceedings of the 39th IEEE Symposium on Security and Privacy. 2018: 1-14.

[20] LI X, CUI X, WANG X. Constructing browser fingerprint tracking chain based on lstm model[J]. IEEE. 2018, 7: 13-18.

[21] LI S, CAO Y .Who touched my browser fingerprint? a large-scale measurement study and classification of fingerprint dynamics[C]//Proceedings of the ACM Internet Measurement Conference. 2020. 370-385.

[22] ANTONIO E, FAJARDO A, MEDINA R. Tracking browser fingerprint using Rule Based Algorithm[C]//16th IEEE International Colloquium on Signal Processing & Its Applications (CSPA). 2020: 225-229.

Research on link detection technology based on dynamic browser fingerprint

GAO Fan, WANG Jian, LIU Jiqiang

Key Laboratory of Security and Privacy in Intelligent Transportation, Beijing Jiaotong University, Beijing 100044, Chin

With the emergence of user privacy leakage and online fraud, traditional detection mechanisms can no longer stop the intensified attacks and new methods are needed to assist in web security detection. As a bridge between users and network data, browsers are widely used in the interaction between users and various applications. The browser fingerprint contains various characteristic information of the user’s browser and device, and its uniqueness can greatly improve the accuracy of user identification. However, browser fingerprints may change over time, and solutions based on static fingerprints cannot meet the requirements of dynamic fingerprints detection. Motivated by this challenge, it’s necessary to improve the recognition and link detection capabilities of dynamic browser fingerprints. Besides, parameters from multi-dimensional perspective need to be obtained and screened to get fine-grained and high-discrimination features for model detecting, preventing the calculation cost caused by too many unnecessary parameters. Bidirectional Gating Recurrent Unit (BiGRU) was introduced into the fingerprint detection, and a stacked BiGRU detection model based on dynamic browser fingerprints was proposed. It solved the problem of low detection accuracy caused by ignoring the interaction of forward and backward information in the process of fingerprints detection, and it also had a certain improvement in indicators such as accuracy and linking time. Furthermore, in view of the different importance of different feature parameters, the same weight given to parameters will result in detection error. Combined with the attention mechanism to focus more stable fingerprint features, an Att-BiGRU fingerprint detection model based on dynamic browser fingerprints was proposed. It optimized the detection ability compared to BiGRU, further improved the detection accuracy of browser fingerprinting, and showed good linking ability on the comprehensive index under the benchmark model.

browser fingerprint, dynamic linking, attack detection, attention mechanism, Web security

The National Key R&D Program of China (2020YFB2103800)

高凡, 王健, 劉吉強(qiáng). 基于動(dòng)態(tài)瀏覽器指紋的鏈接檢測(cè)技術(shù)研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2022, 8(4): 144-156.

TP393

A

10.11959/j.issn.2096?109x.2022049

高凡（1996?），女，山東煙臺(tái)人，北京交通大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全及瀏覽器檢測(cè)。

王?。?975?），男，山東煙臺(tái)人，博士，北京交通大學(xué)副教授、博士生導(dǎo)師，主要研究方向?yàn)槊艽a應(yīng)用及區(qū)塊鏈、網(wǎng)絡(luò)安全。

劉吉強(qiáng)（1973?），男，山東煙臺(tái)人，博士，北京交通大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榭尚庞?jì)算、隱私保護(hù)、云計(jì)算安全。

2021?11?25；

2022?03?04

王健，wangjian@bjtu.edu.cn

國(guó)家重點(diǎn)研發(fā)計(jì)劃（2020YFB2103800）

GAO F, WANG J, LIU J Q. Research on link detection technology based on dynamic browser fingerprint[J]. Chinese Journal of Network and Information Security, 2022, 8(4): 144-156.