基于流指纹的DDoS flooding攻击检测方法

针对现有基于流量特征的DDoS泛洪攻击检测方法易被攻陷,且难以区分攻击与突发访问事件（flash crowds）等问题,提出了一种泛化的攻击检测策略。在此基础上,分别构建泛洪行为和泛洪攻击两种流指纹,通过目标超点聚合度定位泛洪行为,采用一种滑动判别算法区分泛洪攻击与flash crowds事件。实验结果表明,该检测方法可以有效检测泛洪攻击。由于该方法只需维护流到达信息,对于实现高速网络环境下的攻击检测具有一定的实际意义。     

基于通信行为分析的DNS隧道木马检测方法

传统基于载荷分析和流量监测的DNS隧道检测手段误报率高且不能有效应对新型DNS隧道木马,为此提出一种基于通信行为分析的DNS隧道木马检测方法.从DNS会话的视角对比分析DNS隧道木马通信行为与正常DNS解析行为的差异性,提取7个DNS隧道木马属性,组成DNS会话评估向量,采用随机森林分类算法构建DNS会话评估向量检测分类器,建立基于通信行为分析的DNS隧道木马检测模型.实例测试结果表明:该方法误报率小,漏报率低,对未知的DNS隧道木马同样具有很高的检测能力.     

基于活跃熵的DoS攻击检测模型

针对日益严重的拒绝服务(DoS)网络攻击行为,提出了一种基于活跃熵的DoS攻击检测模型。该模型通过活跃通信理论将信息熵与网络流会话相关性结合起来,通过分析网络流量活跃熵值的变化实现对DoS攻击行为的检测。实验结果表明:正常网络流量下活跃熵值基本稳定,在发生DoS攻击时网络流量的活跃熵值波动明显;该模型与静态熵检测模型相比,检测结果更准确,同时能够更有效地检测未知的DoS攻击行为。     

基于图神经网络的P2P僵尸网络检测方法

P2P僵尸网络因具有较高的隐蔽性和健壮性,已经成为新型的网络攻击平台,对网络空间安全造成的威胁越来越大,但现有基于规则分析或流量分析的检测方法不能有效检测.为了解决P2P僵尸网络隐蔽性强、难以识别等问题,提出了一种基于图神经网络(graph neural network,GNN)的P2P僵尸网络检测方法.该方法不依赖流...     

无线网络业务行为——特性分析与行为建模

为了研究移动无线网络中的业务行为特征,提出了一种连续时间半马尔科夫业务行为模型(CTSMM). 基于国内某地无线蜂窝网络中采集得到的业务数据,进行了深入的业务行为特性挖掘分析;从业务会话级层面分别针对单小区和多小区网络环境进行了会话到达、会话持续时间和会话量等重要特征的研究分析,并以此为基础提出CTSMM,该模型可以较好地反映无线网络中的业务行为特性. 同时基于实际采集的业务数据对所提业务行为模型进行了大量比较验证,结果表明,该行为模型基本符合无线网络中业务行为规律,可以基于该业务行为模型进行面向业务行为的无线网络设计、资源规划与优化、频谱动态利用等.     

融合用户行为网络信息的个性化餐馆推荐

目前主流推荐算法是在显式评分或者隐式特征相似的基础上,忽略了用户就餐行为序列中的网络拓扑结构关系,使得用户就餐行为中隐含的喜好信息难以被很好地定性刻画。对此,提出了一种融合用户行为网络信息的个性化餐馆推荐系统。首先根据用户的历史就餐行为序列信息,构建其就餐地理位置转移网络和口味信息转移网络。然后利用网络图表征方法得出位置和口味标签的向量表征,刻画了用户历史就餐行为偏好,并提出用户每次就餐时的怀旧指数GT。最后,将怀旧指数GT结合用户评分信息融入到已有的协同过滤推荐算法框架中,得到改进的融合用户行为网络信息的个性化餐馆推荐模型。在Yelp数据上的实验证明:该模型的推荐效果高于传统的基于评分的推荐算法和最好的图嵌入推荐算法。     

因果图增强的APT攻击检测算法

随着信息技术的发展，网络空间也面临着越来越多的安全风险和威胁。网络攻击越来越高级，高级持续性威胁(APT)攻击是最复杂的攻击之一，被现代攻击者普遍采用。传统的基于网络流的统计或机器学习检测方法难以应对复杂且持续的高级持续性威胁攻击。针对高级持续性威胁攻击检测难的问题，提出一种因果图增强的高级持续性威胁攻击检测算法，挖掘网络节点在不同时刻的网络交互过程，用于甄别网络流中攻击过程的恶性数据包。首先，利用因果图对网络数据包序列进行建模，将网络环境的互联网协议(IP)节点之间的数据流关联起来，建立攻击和非攻击行为的上下文序列；然后，将序列数据归一化，使用基于长短期记忆网络的深度学习模型进行序列二分类；最后，基于序列分类结果对原数据包进行恶性甄别。基于DAPT 2020数据集构建了一个新的数据集，所提算法在测试集上的受试者工作特征曲线的曲线下面积(ROC-AUC)指标可达0.948。实验结果表明，基于因果图序列的攻击检测算法具有较显著的优势，是一种可行的基于网络流的高级持续性威胁攻击检测算法。     

基于标签传播的协同分类欺诈检测方法

网络借贷领域中的欺诈检测是根据收集到的用户历史交易数据等信息,来判断该用户是欺诈用户还是正常用户.现有方法认为用户是独立存在的,忽略了用户之间的关联信息.考虑到目前欺诈逐渐成为群体行为,在欺诈网络内呈现出欺诈节点与非欺诈节点关联稀疏,而欺诈节点间关联紧密的现象,提出基于标签传播的协同分类欺诈检测方法.通过收集真实网上借贷公司的用户通话数据,构建用户之间的通话关联网络,利用标签传播算法扩散欺诈节点的标签信息,确定未知标签节点是否为欺诈用户.通过对权重进行幂操作,改进了标签传播算法中概率转移矩阵的初始化方法,使其适应欺诈场景下正负样本分布不平衡的现象.在有标签样本比例极低且训练样本分布不均衡的真实借贷数据集中进行了7次测试,采用所提算法检测到欺诈用户的精确率最高达17%,所得F1值与精确率都比经典的WvRn算法更优.     

一种应用层分布式拒绝服务攻击快速检测方法

提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击行为的差异,构建了检测自动机模型。该方法将应用层协议用户行为抽象成一系列协议关键字的交互,主要根据应用层协议关键字的统计特征生成用户行为统计特征向量,构造基于逼近理想点排序算法的模型分类器,同时对模型进行训练得到最优分类距离阈值,从而对DDoS攻击行为作出判定。高速网络环境下的测试结果表明了此方法的有效性。     

基于流相似性的两阶段P2P僵尸网络检测方法

僵尸网络利用诸如蠕虫、木马以及rootkit等传统恶意程序,进行分布式拒绝服务攻击、发送钓鱼链接、提供恶意服务,已经成为网络安全的主要威胁之一。由于P2P僵尸网络的典型特征是去中心化和分布式,相对于IRC、HTTP等类型的僵尸网络具有更大的检测难度。为了解决这一问题,该文提出了一个具有两阶段的流量分类方法来检测P2P僵尸网络。首先,根据知名端口、DNS查询、流计数和端口判断来过滤网络流量中的非P2P流量;其次基于数据流特征和流相似性来提取会话特征;最后使用基于决策树模型的随机森林算法来检测P2P僵尸网络。使用UNB ISCX僵尸网络数据集对该方法进行验证,实验结果表明,该两阶段检测方法比传统P2P僵尸网络检测方法具有更高的准确率。     

音频信息隐藏技术在网络通信中的应用研究

信息隐藏技术是保障网络通信系统安全的重要部分,它着眼于被隐藏信息本身的不可探测性,利用该技术可在音频文件中嵌入秘密信息以达到隐蔽通信的目的.首先介绍了基于信息隐藏技术的隐蔽通信的基本模型,分析了计算机网络中信息隐藏的特点;对网络保密通信中的信息隐藏技术进行了分类比较,并对信息检测技术进行了研究;最后指出了目前该研究领域的具体应用、存在的问题及今后的发展趋势.     

跳端口技术及其在网络隐蔽通信中的应用

跳端口技术是近年来出现的一种新型信息隐藏技术,在网络隐蔽通信中有着很好的发展和应用前景.首先分析了跳端口技术的基本原理和关键技术,在此基础上,利用WindoWssockets技术和Vc++编程,设计并实现了基于会话的跳端口系统.实验结果表明:跳端口技术使数据报文扩散到网络背景数据噪声中,从而有效地减少了黑客针对特定端口的攻击,同时系统的抗dos攻击能力较定端口系统有较明显改善     

基于大数据的网络安全与情报分析

随着IT技术和通信技术的发展,网络环境日趋复杂,云计算和虚拟化等技术的应用,使得主机边界、网络边界也变得动态和模糊。同时,网络攻击频繁,隐蔽性、持续性、趋利性等高级网络威胁增多。而传统网络安全与情报分析技术受数据来源单一、处理能力有限、部署依赖于物理环境等因素的限制,导致对威胁情报的获取、分析、利用能力不足,且对网络安全态势的感知与预测能力有限,不能有效解决当前和未来所面临的网络安全挑战。作者以大数据技术给网络安全与情报分析研究带来的挑战与机遇为线索,回顾大数据的内涵,分析当前网络安全与情报分析面临的困境,梳理大数据和网络安全与情报分析的关系,阐述大数据技术对传统安全分析方法的改变。大数据技术在安全领域应用形成大数据安全分析这一新型安全应对方法,通过紧扣安全数据自身的特点和安全分析的目标,应用大数据分析的方法和技术,解决网络安全与情报分析中的实际问题。一方面,批量数据处理技术、流式数据处理技术、交互式数据查询技术等大数据处理技术解决了高性能网络流量的实时还原与分析、海量历史日志数据分析与快速检索、海量文本数据的实时处理与检索等网络安全与情报分析中的数据处理问题;另一方面,大数据技术应用到安全可视分析、安全事件关联、用户行为分析中,形成大数据交互式可视分析、多源事件关联分析、用户实体行为分析、网络行为分析等一系列大数据安全分析研究分支,以应对当前的网络安全挑战。大数据安全分析技术在APT攻击检测、网络异常检测、网络安全态势感知、网络威胁情报分析等方面已经得到应用,但是,当前的网络安全形势仍不容乐观：高级网络威胁与攻击的有效检测方法缺乏;未知复杂网络攻击与威胁预测能力不足;缺乏度量网络安全态势评估结果的评价体系,关键资产与网络整体的态势评估指标体系不完善,网络安全态势感知评估方法缺少针对性;网络威胁情报信息分析的新型数据源数据获取难度大,缺乏威胁情报共享标准,尚未建成规模化、一体化的现代威胁情报中心和开放的威胁情报综合服务平台。围绕这些问题,需要研究高级网络威胁发现方法、复杂网络攻击预测方法、大规模网络安全态势感知技术、威胁情报数据采集与共享技术,并在高级网络威胁早期检测、隐蔽性和持续性网络通信行为检测、基于大数据分析的网络特征提取技术、综合威胁情报的高级网络威胁预测、非公开网络情报采集等关键技术上实现突破,以提升大数据对网络信息安全的支撑能力,增强网络信息安全风险感知、预警和处置能力。     

变结构神经网络模型的BP算法及其应用研究

神经网络模型是一种非常有效的数据处理工具,但是存在结构确定困难的缺点.针对神经网络算法的这种缺点,提出了变结构神经网络模型.此模型增加了神经网络隐节点的决策变量,并对此决策变量进行松弛.在采用BP梯度算法确定神经网络结构的同时,确定网络参数.由于电缆的状态监测是时序数据,将此模型应用于电缆的状态监测过程中,能体现出较好的适应性.     

基于DMC-HMM模型的视频异常行为检测

针对视频检测算法中选取合适的图像语义特征提取算法的困难和检测计算效率不高的问题,该文提出了一种基于狄利克雷多项式共轭隐马尔科夫模型的视频异常行为检测算法,首先提出了狄利克雷多项式共轭模型用于抽取视频的底层特征的语义特征,接着将该模型与隐马尔可夫模型相结合进行视频异常行为的检测。通过校园人群流动和交通灯车辆流动实验证明,该方法具有较高的计算效率和检测性能。     

基于STM32的GPRS无线通讯 新型智能安防仪的研究与开发

针对目前家居安防设备存在的实时性差、远程控制不理想等缺点,提出了在高性能处理器STM32中嵌入GPRS网络功能的新型无线远程安防控制模型,该模型借助无线通讯网络、高效烟雾传感采集技术,以数据流形式实时地实现有效监控;通过烟雾传感数据,实现了家用设备的实时控制。实物模型运行结果验证了该方案的可行性和有效性。     

面向APT攻击的网络安全威胁隐蔽目标识别方法

针对当前网络APT隐蔽目标攻击识别方法准确率低、攻击识别耗时长的问题,提出面向APT攻击的网络安全威胁隐蔽目标识别方法.引入关联规则算法构建隐蔽目标识别模型,据此构建APT攻击隐蔽目标识别的总体框架,根据APT目标档案属性相关性计算网络安全威胁之间的关联规则,根据关联规则提取APT目标档案数据,通过可信度计算实现APT攻击下的网络安全威胁隐蔽目标识别.仿真实验表明,所提方法具有较高的攻击识别准确率,且攻击识别耗时短,能够高效、准确地实现APT攻击下网络安全威胁隐蔽目标识别.     

基于内外卷积网络的网络入侵检测

网络入侵检测通过分析流量特征来区分正常和异常的网络行为以实现入侵流量的检测,是网络安全领域的重要研究课题.针对已有入侵检测模型特征提取过程复杂、信息提取不足等问题,提出了一种基于内外卷积网络的入侵检测模型.首先使用一维卷积神经网络提取流量数据的内部特征,然后通过对内部特征计算相似度建模得到无向同质图,此外将流量在外部网络侧的通信行为建模为有向异质图,并对两图使用图卷积网络学习包含网络流量多种交互行为的嵌入向量,最后将学习到的流量嵌入向量输入到分类器中用于最终的分类.实验结果表明,所提模型的检测准确率和误报率均优于对比模型.     

数据加密系统的设计与实现

介绍了数据加密技术和数字签名技术，并在此基础上设计了一个数据加密系统，旨在提高网络通信中数据的安全性.该系统采用混合加密体制，明文用安全性很高的三重DES算法加解密，两个密钥用RSA算法进行加密，从而保证了三重DES密钥的安全性，解决了密钥管理难的问题；同时利用Java安全软件包实现数字签名，保证了数据的完整性、不可否认性.最后，通过Java语言开发了该数据加密系统.该数据加密系统简单有效，具有很好的安全性和实用性.     

入侵防御系统可信通信协议的设计与实现

入侵防御系统主要基于入侵检测系统和防火墙之间的联动,而它们各自能识别和维护的数据格式往往是不同的。此外,这些敏感数据通常是在开放的网络环境中传输的,面临各种安全威胁。为此,引入可信通信的概念,设计并实现了基于XML（eXtensible Markup Language）的可信通信协议。与同类工作相比,该协议可实现异构操作环境下入侵检测系统与防火墙之间的安全数据传输,并可进一步扩展支持各种网络安全产品和网络管理设备,对于实现这些设备之间的数据融合,检测复杂的分布式网络攻击具有一定的参考价值。