基于日志信息的DNS查询异常检测算法

针对域名系统（DNS）中存在异常查询的问题,提出了一种基于日志信息的DNS查询异常检测算法,以检测异常的互联网协议地址（IP）.通过分析DNS正常与异常请求行为的区别,提取了DNS日志中多个维度的信息来表征源IP;其次,利用降维处理将数据映射到三维空间,以便直观地可视化呈现和快速地进行数据分析;最后,利用聚类分析和计算各源IP的可信度,检测出异常的源IP.实验结果表明,所提算法不但能直观观察到多维数据集中的关联特性,而且能从全局和局部2个层面识别网络中异常的源IP.     

基于时间序列分析的DNS服务器的DDoS攻击检测

分析了针对DNS服务器DDoS攻击的特征,提出了一种基于攻击流特征(AFC)时间序列的DDoS攻击检测方法.通过自适应自回归模型的参数拟合,将AFC时间序列变换为多维空间内的自适应自回归AAR模型参数向量序列,然后使用支持向量机进行分类.实验结果表明,该方法能有效检测针对DNS服务器的DDoS攻击.     

微型化DNS法测定多糖水解液中还原糖的质量浓度

传统DNS比色法适用于常规还原糖含量的检测,但难以检测微量的样品以及快速检测大批量样品,故对传统DNS法进行改进,建立微型化DNS法测定多糖水解液中还原糖含量的方法.以DNS为显色剂,采用酶联免疫测定仪微盘比色测定多糖水解液中的还原糖含量,考察该方法的重复性和精确性,并与传统DNS法进行比较,结果表明:微型DNS法标准曲线线性良好,并且有良好的重复性和精密度,与传统DNS法相比,对样品的测定结果进行t检验,P=0.118 1(＞0.05)表明两种方法检测到结果相一致.微型化DNS法在保证检测精确性的前提下有效减少了样品检测损耗量和提高了检测效率,有望扩大DNS比色法至微量化及批量化样品的还原糖含量检测领域.     

基于三维噪声统计特性异常的盲元检测与分类

根据对盲元特性的分析,提出将三维噪声模型中的固定图形噪声与随机时空噪声作为盲元检测的数据源,在像素等级上构建形成特征向量.建立特征向量的独立二元正态分布统计模型,将盲元看作是游离于正态分布等概率密度椭圆之外的异常点.以特征空间中的统计距离与特征空间角作为异常点检测的统计判据,并分类死元、过热像元与闪烁像元.将该算法应用于实际制冷型红外焦平面的盲元检测,实验结果证明了该算法的有效性.     

基于自注意力机制的桥梁螺栓检测算法

基于构建的真实桥梁螺栓场景数据集,提出基于自注意力机制与中心点回归（SACPR）的螺栓检测算法. 构建基于真实场景的高质量桥梁螺栓场景数据集,并针对数据不均衡、多样性不够的问题,使用数据增强方法进行数据扩充,从而获得更高的分类精度. 采用基于深度学习框架的SACPR算法检测不同场景下的螺栓,并进行标示. 对螺栓检测准确率进行验证实验,验证SACP算法的有效性. 将试验结果与YOLOv3、Faster-RCNN、RetinaNet这3种算法结果进行对比,发现3种检测方法的识别精度分别为80.56 %、87.71%、93.89%,而所提出的SACPR 算法的识别精度为93.91%,明显优于YOLOv3算法和Faster-RCNN算法;虽然SACPR算法与RetinaNet算法的识别精度较接近,但前者的检测速度是后者的5.6倍.     

基于BIND的DNS服务器检测研究

RHEL5.x中默认使用BIND 9实现DNS服务器。最常用的DNS服务器包括主DNS、从DNS、转发DNS和缓存DNS。DNS服务器是否能够提供相应的服务,需要在服务器和客户端进行检测。通过对检测结果的研究明确对DNS服务器进行哪些修改。     

园区网风险账号评估方法

基于账号的URL访问日志,通过检测风险设备定位风险账号;提取设备出现次数离散度、设备多账号风险度、收费网络占比等访问行为特征,将其量化为特征向量集;利用高斯混合模型（GMM）将所得到的特征向量集进行聚类,得出设备有异常访问行为的概率. 使用修正余弦相似度算法计算同一账号下同类设备访问URL的相似程度. 综合高斯混合模型的聚类结果和修正余弦相似度的计算结果得到风险账号的评估结果. 实验结果表明,该方法在误报率低于5%的同时达到85%的检出率,可以在IP地址范围较小、账号登录频率不高的园区网环境下及时发现风险账号.     

基于SOP-SRL波段选择和3D-Gabor滤波的高光谱图像分类

为了解决高光谱图像分类精度低,计算复杂度高的问题,本文提出一种基于可扩展的自表示学习波段选择方法(SOP-SRL)和3D-Gabor滤波的高光谱图像分类方法,以表示高光谱图像的空间光谱特征。使用SOP-SRL,通过缓存向量选择出信息量大的波段;应用3D-Gabor滤波器组对选定的波段进行响应,获取所有像素点的特征向量,将这些特征向量用于分类。在3个公共数据集上进行实验,所提方法的平均分类精度分别为91.42%、98.95%、98.72%,优于其他几种分类算法,能够在提高分类精度的同时,缩短实验时间。     

园区网风险账号评估方法

基于账号的URL访问日志,通过检测风险设备定位风险账号;提取设备出现次数离散度、设备多账号风险度、收费网络占比等访问行为特征,将其量化为特征向量集;利用高斯混合模型（GMM）将所得到的特征向量集进行聚类,得出设备有异常访问行为的概率.使用修正余弦相似度算法计算同一账号下同类设备访问URL的相似程度.综合高斯混合模型的聚类结果和修正余弦相似度的计算结果得到风险账号的评估结果.实验结果表明,该方法在误报率低于5%的同时达到85%的检出率,可以在IP地址范围较小、账号登录频率不高的园区网环境下及时发现风险账号.     

基于随机森林算法的Android恶意行为识别与分类方法

针对当前Android恶意软件检测方法对检测出的恶意行为无法进行识别和分类的问题,提出基于随机森林（RF）算法的Android恶意行为的识别与分类方法. 该方法在对Android恶意软件的类型进行定义的基础上,利用融合多种触发机制的Android恶意行为诱导方法触发软件的潜在恶意行为;通过Hook关键系统函数对Android软件行为进行采集并生成行为日志,基于行为日志提取软件行为特征集;使用随机森林算法,对行为日志中的恶意行为进行识别与分类. 实验结果表明,该方法对Android恶意软件识别的准确率达到91.6%,对恶意行为分类的平均准确率达到96.8%.     

基于特征选择和时间卷积网络的工业控制系统入侵检测

针对工业控制系统流量数据存在特征冗余及深度学习模型对较小规模数据集检测能力较差的问题,提出了一种基于特征选择和时间卷积网络的工业控制系统入侵检测模型。首先,对源域数据集的异常特征和样本不平衡数据进行处理,提高源域数据集质量。其次,针对流量数据的特征冗余,利用信息增益率和主成分分析法构建IGR-PCA特征选择算法,筛选出最优特征子集实现数据降维。然后,根据工业控制系统流量数据的时间序列特性,在较大规模的源域数据集上,利用时间卷积网络（temporal convolution network,TCN）对时间序列数据优异的处理能力,构建源域时间卷积网络预训练模型。最后,在较小规模的目标域数据集上,结合迁移学习（transfer learning,TL）微调策略,获取源域样本数据的流量特征,构建目标域TCN-TL模型。利用公开的工业控制系统数据集进行实验测试,实验结果表明：流量数据经本文特征算法处理后,相较于其他方法,在降低数据维度减少计算量的同时仍具有良好的检测效果;在较大规模的源域数据集和较小规模的目标域数据集上,本文模型均取得了良好的检测效果,在目标域中利用迁移学习微调策略能够学习到源域中的知识,模型检测准确率为99.06%,在训练时间对比中,本文模型训练时间消耗更少,具有更好的泛化能力,能够更好地保护工业控制系统安全。     

基于迁移学习的跨域异常流量检测

基于已知数据的机器学习模型在实际异常流量检测任务中不完全可靠,为此,将不同分布的流量分别作为源域和目标域,建立跨域网络异常流量检测框架,提出了基于联合分布适配的迁移学习方法.通过寻找最优变换矩阵、适配源域与目标域之间的条件概率和边缘概率,实现源域与目标域间的特征迁移,从而解决由于源域与目标域分布差异大所引起的检测准确率下降等问题.实验结果表明,所提方法可以显著提升跨域流量的检测准确率.     

多阶段特征重分布算法的小样本目标检测

深度神经网络在目标检测任务上需要训练大量的标签数据，然而在许多实际应用场景中标签数据难以获取。针对这一问题，提出了一种面向小样本目标检测的多阶段特征重分布算法(MSFR)。该算法通过对特征向量进行重分布变换，解决了小样本任务下源域数据和目标域数据分布不一致的问题；通过多阶段学习策略将源域知识逐步迁移到小样本目标任务中，进一步提高知识迁移效率。在VOC数据集上的大量实验表明，与现有小样本目标检测算法相比，该算法在不同任务上的精度最高提升了9.06%。该算法在大幅提高小样本目标域类别检测性能的同时，较大限度地保持了对源域类别的检测精度，具有较大的实用价值。     

基于自适应采样的复杂模型全局近似

针对复杂模型近似处理的问题,提出自适应采样结合曲面曲率的全局近似方法. 采用自适应设计域分割采样方法获取新增采样点,逐步提高源模型的响应面近似模型精度. 引入判定响应面近似模型精度,提出利用几何方法计算曲面曲率,并结合启发式直接搜索算法（DIRECT）搜索响应面模型上的最大曲率点及设计域最佳分割位置. 所提方法可以运用于其他响应面模型,并适合用于大设计域、大数据源模型的近似处理. 函数源模型及复杂电动车模型的近似处理测试结果表明,所提方法具有实用性和有效性.     

Improved algorithm for detection of the malicious domain name based on the convolutional neural network

Aiming at the problem that the existing detection methods are not efficient in detecting the malicious domain name generated by the algorithm, especially the detection rate of several types of malicious domain names that are difficult to detect is low, an improved algorithm for detection of the malicious domain name based on the convolutional neural network is proposed. Based on the existing convolutional neural network model, this algorithm adds convolutional branches to extract deeper character-level features, so that both shallow and deep character-level features of malicious domain names could be extracted and fused simultaneously. A focal loss function is introduced as a loss function to solve the problem of sample imbalance caused by difficulty and quantity, which is used to improve the detection accuracy of hard-to-detect samples. The average detection accuracy of the improved algorithm for 20 types of malicious domain names is 97.62%, that is, 0.94% higher than that of the original algorithm, and the detection accuracy of four hard-to-detect domain names is increased by 3.71%, 4.6%, 11.18% and 17.8%, respectively. Experimental results show that the improved algorithm can effectively improve the detection accuracy of malicious domain names, especially for some hard-to-detect domain names.     

智能移动代理在域名系统中的应用

针对当前域名系统，通过分析其域名解析的原理，指出其性能优化的方向。介绍了代理的有关概念和原理，并将代理技术应用于域名系统，提出智能移动代理在域名系统中的实现模型。对模型进行分析证明，应用代理技术的域名系统可以有效缩短域名解析时间，从而明显地提高域名系统的工作效率。     

基于DNS流量的多层多域名检测与测量

为了研究DNS流量中的域名角色,为域名影响力分析提供一种域名定位和筛选的思路,设计一种基于DNS流量的多层多域名检测算法. 在检测阶段,从CERNET主干网边界采集DNS流量,提取请求和应答序列. 基于多层多域名的聚合特征及解析的并发性,检测流量中存在的主从域名集合,并引入时间滑动窗口机制进行置信度测量. 在测量阶段,对算法检测结果从多个角度进行分析,包括多层多域名集合的规模和相交情况、主从域名的标签级数、集合中从域名对应的资源类型等,并提供了2个存在多层多域名的典型网站案例. 测量结果验证了多层多域名现象的存在以及多层多域名集合的特点,表明了此多层多域名检测算法的有效性.