基于SOM算法的HTTP隧道攻击检测

基于自组织映射网络聚类算法,提出HTTP隧道攻击异常检测模型,讨论HTTP连接样本特征、SOM网络分步优化训练、漏报与误报率的平衡等问题,实现模型并对检测结果进行验证,结果表明系统较好地识别了正常HTTP连接和HTTP隧道连接,漏报/误报率达到最佳平衡。     

基于C4.5的HTTP隧道检测技术研究

针对网络恶意软件威胁日益严重等问题,研究了恶意软件常采用的通信方式——隧道技术,并提出了一种基于C4.5的HTTP隧道检测算法.该算法采用决策支持树算法C4.5提取网络流特征字段,根据特征字段生成训练数据建立HTTP隧道分类的决策树检测模型,采用该分类模型检测HTTP隧道流,为检测恶意软件提供依据.实验结果表明,与同类算法相比,该算法不依赖样本空间的分布,能准确地检测HTTP隧道流,具有良好的有效性和稳定性.     

基于SVM的HTTP隧道检测技术研究

提出一种基于支持向量机(SVM)的HTTP隧道检测算法,该算法采用SVM提取网络流特征字段,根据特征字段生成训练数据,从而建立HTTP隧道分类检测模型,并结合知名地址匹配和单向流筛选等策略检测HTTP隧道流。与相关算法的对比实验表明,该算法不依赖样本空间的分布,能准确检测HTTP隧道流,具有较好的稳定性。     

一种基于多层联合分析的HTTP隧道木马检测方法

针对现有的基于网络层或传输层的木马通信行为检测方法应用到HTTP隧道木马的检测中识别精度较低的问题,提出一种基于多层联合分析的HTTP隧道木马检测方法。首先,从应用层、传输层和网络层三个层面提取HTTP会话过程中区分隧道木马通信和正常通信的行为统计特征;其次,采用基于主动学习的SVM算法生成分类规则,建立检测系统。实验结果表明,基于多层联合分析的检测方法降低了已有方法的误报率和漏报率,并且引入主动学习方法有效减少了人工标记的样本数量,提高了基于通信行为分析的HTTP隧道木马检测方法的实用性。     

基于操作行为的隧道木马检测方法

木马通常利用HTTP隧道技术突破防护设备,对网络安全造成威胁。针对该问题,提出一种利用木马操作行为检测网络中HTTP隧道木马的方法。该方法通过6个统计特征描述正常的HTTP会话,采用HTTP隧道技术发现木马操作之间的差别,利用数据挖掘中C4.5决策树分类算法对2种会话进行分类。实验结果表明,该方法能检测多种已知的HTTP隧道木马。     

基于车联网的数据动态压缩采集策略

车联网能高效地实现感知区域的覆盖,因此被应用于大规模城市感知。同时,为了解决车联网难以传输大量数据的问题,一些研究者使用压缩感知对具有时空相关性的数据进行压缩。但是,目前在车联网中应用压缩感知的研究并没有考虑数据和车辆分布变化的特性,很可能导致不可接受的误差。为了保证数据的重构精度,提出面向车联网的动态压缩感知方法。该方法能自动分析感知对象的数据特征、车辆分布和观测数量之间的关系。在压缩感知的基础上加入观测数量调整功能,通过对当前感知对象的数据特征和车辆分布的分析, 实时调整压缩感知中观测矩阵的参数,从而控制观测数据的数量,提升重构精度,实现更高质量的数据传输。实验表明与现有车联网中的压缩感知方法相比,面向车联网的动态压缩感知方法在重构精度上提升了15.3%。     

嵌入Dense Net的YOLOv4多尺度隧道火灾检测算法

为解决现有火灾检测算法在公路隧道的应用较少以及算法检测的准确性和实时性不能满足要求，提出一种改进的YOLOv4隧道火灾检测算法。由于公开的隧道火焰数据集较少，通过模拟火灾形成初期的火焰和网上搜集构建了一个包含3000张隧道火焰图片的数据集，在数据集中添加了500张隧道车灯和500张隧道照明灯用于模型训练，提高泛化性。然后在YOLOv4的特征提取层的CSP结构中嵌入DenseNet,融合多尺度的浅层特征信息，增强特征复用，降低梯度消失的问题和抑制过拟合。再在特征网络检测层中增加了104×104特征检测尺寸，增强隧道火灾形成初期小目标火焰的检测精度。实验结果表明：上述算法检测精度为90.4%,在原YOLOv4网络上提高了5.2%,其检测速度可达0.16s,满足隧道实时检测的要求，并且对小尺寸火焰也有很好的检测效果，对实现隧道火灾初期预警具有重要意义。     

基于全景图像CNN的隧道病害自动识别方法

针对目前隧道衬砌病害检测过程中难以快速、方便地获取隧道内壁全景图像以及难以自动检测识别各种病害等问题,提出一种基于全景图像CNN的隧道病害自动识别方法。首先通过一种全景视觉传感器快速获取隧道内壁的全景图像;然后对全景图像进行处理,主要通过全景图像展开、图像预处理、二值化处理等操作来提取疑似病害区域;最后,采用卷积神经网络对病害进行自动检测分类识别。实验结果表明,所提方法极大程度地简化了检测装置在获取隧道内壁全景图像的结构,通过端对端的卷积神经网络实现了各种隧道病害特征的自动提取、检测和识别,并具有88%的检测识别精度,为隧道的维护、竣工验收提供了有效的技术支撑。     

改进YOLOv5的隧道火灾帧差检测网络与应用方法

隧道发生火灾存在着检测难、救援难的问题,实时的火灾监测对于及时发现火情是至关重要的。传统基于视频图像的火灾检测方法,检测依赖单幅图像,无法提取多幅图像的时空信息,检测精度低,不能有效检测隧道火灾。因此,提出了隧道火灾帧差网络。帧差网络使用3D卷积核构建网络结构,提取视频中火灾的时间上下文信息;将帧差网络衔接至YOLOv5主干网络形成隧道火灾帧差检测网络,可以检测单幅图像及两幅图像,从而充分利用视频动态信息;使用CIoU函数优化网络的边界框损失,并融合分类损失与置信度损失,使网络能够快速收敛。实验结果表明,该网络在隧道火灾数据集上的平均精度高达91.03%,检测速度达到了63.7帧/s,具有较强的鲁棒性。通过选取最优分析策略设计隧道火灾检测应用方法,该方法在隧道场景中的漏检率和误检率分别为2.52%和2.03%,可以满足隧道火灾检测的准确性和实时性需求。     

基于学习主动中心轮廓模型的场景文本检测

在场景文本检测领域,存在由于文本尺寸波动较大导致的小文本漏检、大文本欠检测和多尺度文本边界检测错误的情况。针对上述问题,提出一种基于学习主动中心轮廓模型的场景文本检测网络。在残差网络ResNet的基础上构建多尺度特征权重融合模型,对输入的场景文本图片进行多尺度特征提取和权重融合,并计算出最终的特征融合图,适应场景文本长宽比变化较大的情况。在此基础上,将融合后的特征图输入到学习主动中心轮廓模型预测文本框的中心点和边界,该模型为场景文本检测提供丰富先验知识,以解决多尺度文本检测框包含过多背景或部分包围文本造成的边界检测错误问题。在MSRA-TD500、IC13、IC15和IC17MLT数据集上的实验结果表明,该网络能够提高多尺度场景文本检测的准确率,其中在MSRA-TD50数据集上F-measure为0.83,相较于MSR方法提升1%,在IC13数据集上F-measure为0.91,相较于PixelLink网络提升2%,在IC15数据集上F-measure值为0.87,相较于PSENet网络提升1%,在IC17MLT数据集上F-measure值为0.74,相较于TridentNet网络提升1%。     

Position-based automatic reverse engineering of network protocols

Automatic protocol reverse engineering is a process of extracting protocol message formats and protocol state machine without access to the specification of target protocol. Protocol reverse engineering is useful for addressing many problems of network management and security, such as network management, honey-pot systems, intrusion detection, Botnet detection and prevention, and so on. Currently, protocol reverse engineering is mainly a manual and painstaking process which is time-consuming and error-prone. In this paper, we present a novel approach for automatic reverse engineering application-layer network protocols. We extract protocol keywords from network traces based on their support rates and variances of positions, reconstruct message formats, and infer protocol state machines. We implement our approach in a prototype system called AutoReEngine and evaluate it over four text-based protocols (HTTP, POP3, SMTP and FTP) and two binary protocols (DNS and NetBIOS). The results show that our AutoReEngine outperforms the existing algorithms.     

基于联合压缩感知重构的网络通信服务目标数据检测技术

采用当前无监督组件支持向量机模型检测技术、高维随机矩阵检测技术,对网络通信服务目标数据检测时,缺少特殊属性目标采集过程,导致数据检测效果较差。针对该问题,提出了基于联合压缩感知重构的网络通信服务目标数据检测技术研究。根据联合压缩感知重构原理,采集网络通信服务节点温度稀疏目标数据,利用联合压缩感知重构技术处理网络节点通信数据,构造稀疏二进制矩阵,完成对未知数量检测数据精确重构。利用构造函数计算网络通信服务数据之间的相似度,完成不同样本特征的区分,剔除不必要数据特征,并采用联合压缩感知重构技术实现对网络通信服务目标数据检测。实验结果表明,该技术数据检出率最高可达到87%,为海量数据下社交网络特殊对象数据挖掘奠定基础。     

Tunnel Hunter: Detecting application-layer tunnels with statistical fingerprinting

Application-layer tunnels nowadays represent a significant security threat for any network protected by firewalls and Application Layer Gateways. The encapsulation of protocols subject to security policies such as peer-to-peer, e-mail, chat and others into protocols that are deemed as safe or necessary, such as HTTP, SSH or even DNS, can bypass any network-boundary security policy, even those based on stateful packet inspection.In this paper we propose a statistical classification mechanism that could represent an important step towards new techniques for securing network boundaries. The mechanism, called Tunnel Hunter, relies on the statistical characterization at the IP-layer of the traffic that is allowed by a given security policy, such as HTTP or SSH. The statistical profiles of the allowed usages of those protocols can then be dynamically checked against traffic flows crossing the network boundaries, identifying with great accuracy when a flow is being used to tunnel another protocol. Results from experiments conducted on a live network suggest that the technique can be very effective, even when the application-layer protocol used as a tunnel is encrypted, such as in the case of SSH.     

基于策略DNS和HTTP Proxy的多宿主网络服务部署的研究

针对目前常用的多宿主网络服务部署方法中存在的由于ISP网络地址集的变化或DNS配置等因素会造成服务访问路由不可达的不足,提出了一种基于策略DNS与HTTP Proxy在多宿主网络中服务的部署策略,在各ISP出口安装HTTP Proxy服务器,配合策略DNS服务进行联合部署。从理论上对该策略进行了分析,并对部署方法进行了详细阐述。通过实例分析及效果测量,证实了在不改变网络拓扑、基本不增加投入的情况下,通过该策略可大幅度提高校园网或企业网信息资源服务的互联网用户访问速度和访问质量,并解决了传统方式中路由不可达的问题。     

FRDet:一种基于候选框特征修正的多方向遥感目标快速检测方法

在遥感图像的目标检测任务中,为了能更加准确地定位目标,现有的基于候选框特征提取的one-stage检测方法是在每个空间位置上,充分预设多个候选框从而覆盖住待检测目标,然而这会造成one-stage检测方法计算复杂度的大幅提升。本文提出一种基于候选框特征修正的多方向遥感目标检测方法。在该方法中,特征图的每个位置仅预设一个候选框,通过回归学习进行特征修正后得到的候选框替换掉原始的框,再由one-stage检测方法的分类层和回归层分别进行识别和定位。所提方法采用Mobilenetv2作为检测网络的基本结构,在DOTA数据集上飞机的检测率可达96.8%,虚警率为6.7%,mAP值达0.87,并且具有完全的实时结果,超过了SSD、YOLOv3等所有基于候选框特征提取的的遥感图像检测方法。由于本文方法巧妙地避开了候选框的宽高比和尺度的先验设计,因此本文方法很容易应用于其他类似的检测任务中,即插即用,具有很强的任务适应性。     

一种基于压缩域的穿戴式心电信号直接特征提取与分类方法

压缩感知是实现可穿戴式健康监测系统低能耗工作方式的一种有效途径,而现有基于压缩感知的心电信号分类方法大多需要在进行分类之前,先使用重构算法恢复出原始心电信号,这可能会导致较高的计算复杂度高,不适合于具有实时性需求的可穿戴式系统。提出一种基于压缩域的穿戴式心电信号的特征提取与自动分类方法。跳过信号重构步骤,使用改进的主成分分析法在压缩域上直接对压缩后的心电信号进行特征提取,并基于最小二乘支持向量机半监督学习方法实现心电信号的自动分类。实验结果表明,相较于在非压缩域上的分类方法,该方法在保证分类性能下降非常少的前提下,心电数据量大大地减少,有效提高了心电信号自动分类的效率。