本文刊登于Tsinghua Science and Technology（《清华大学学报自然科学版（英文版）》）2025年第6期。

1. 背景介绍 

增量搜索是一种根据用户当前输入内容实时返回相关搜索建议的交互功能，广泛应用于搜索引擎、购物网站、社交平台等Web应用。与此同时，这种功能的实时交互特性也引入了新的安全问题。尽管网站使用了SSL/TLS等网络安全协议加密传输通信数据，攻击者仍可以通过观察分析加密网络流量的数据包大小、时间、数量等特征，获取有关用户击键行为的特定信息，从而推测用户输入的搜索内容。这一过程被称为“远程击键推测攻击”。近年来，多种基于不同流量特征的攻击方法不断提出，给用户的隐私保护问题带来了挑战。相应地，现有防御方法多为基于流量混淆的策略实现。系统性分析具体Web应用针对不同远程击键推测攻击方法的脆弱性，以及不同防御方法的有效性，对Web应用隐私保护具有重要的现实意义。

2. 成果简介 

围绕Web应用增量搜索过程中加密网络流量存在的侧信道隐私泄露问题，本文系统全面地对现有远程击键推测攻击与防御方法展开实证分析。具体地，本文设计了一种通用评估框架，通过在Baidu、Bing等知名网站上开展大规模测试，在多种防御部署场景下评估和比较了不同攻击方法的推测准确性，以及不同防御方法的有效性和引入的系统开销，并深入探究了时空因素、参数设置等方面对实际攻防效果的影响。本文工作揭示了此类远程击键推测攻击与防御方法给用户隐私安全带来的现实影响，并为网站开发人员制定有效的Web应用隐私保护策略提供了未来方向。

3. 作者简介 

毛剑，北京航空航天大学网络空间安全学院教授、博士生导师，主要从事物联网安全与隐私分析、Web应用安全、移动应用安全、软件与系统安全分析等方向研究。主持国家重点研发计划、国家自然科学基金项目、北京市自然科学基金面上项目、浙江省自然科学基金重点项目等课题。相关成果已在IEEE TIFS、IEEE TVT等国际高水平期刊，和NDSS、Usenix Security等安全旗舰国际会议发表。获CCF推荐国际会议WASA2019最佳论文奖，获SCI期刊《清华大学学报(英文版)》2019年度优秀论文奖。

5. 文章来源 

Z. Chen, J. Mao, Q. Lin, L. Ma and J. Liu, "Empirical Analysis of Remote Keystroke Inference Attacks and Defenses on Incremental Search," in Tsinghua Science and Technology, vol. 30, no. 6, pp. 2434-2451, December 2025, doi: 10.26599/TST.2024.9010100.

Z. Chen, J. Mao, Q. Lin, L. Ma and J. Liu, "Empirical Analysis of Remote Keystroke Inference Attacks and Defenses on Incremental Search," in Tsinghua Science and Technology, vol. 30, no. 6, pp. 2434-2451, December 2025, doi: 10.26599/TST.2024.9010100.

识别二维码或点击左下角“阅读原文”可访问全文

Tsinghua Science and Technology 期刊介绍 

2025年第6期：https://ieeexplore.ieee.org/xpl/mostRecentIssue.jsp?punumber=5971803

期刊主页：

https://ieeexplore.ieee.org/xpl/RecentIssue.jsp?punumber=5971803

识别二维码可访问

识别二维码可访问

投稿链接：

https://mc03.manuscriptcentral.com/tst

识别二维码可访问

清华大学学报自然科学版（英文）Tsinghua Science and Technology，是由教育部主管、清华大学主办的信息科学领域综合性学术期刊。1996 年创刊，由中国工程院院士、清华大学教授孙家广担任主编，清华大学教授刘云浩担任副主编。主要发表信息科学领域重大成果和前沿热点内容，全面反映人工智能、大数据、信息与通信工程、控制科学与工程、计算机科学与技术、软件工程等方面最新原创性研究成果，旨在为信息科学的研究和发展搭建国际化学术交流平台。

该刊被 SCIE、Scopus、Ei Compendex、CSCD 等国内外重要数据库收录。2024 年SCI 影响因子为3.5，在计算机软件工程、计算机信息系统和电子电气工程3个分区位于JCR Q2区，中国科学院期刊分区计算机科学二区。2018 年荣获“第四届中国出版政府奖期刊奖提名奖”；2019 年入选“中国科技期刊卓越行动计划”梯队期刊项目；2024年入选“中国科技期刊卓越行动计划二期”英文领军期刊项目；2025年入选北京市“2025支持高水平国际科技期刊建设-强刊提升类”项目。