面向网络入侵检测的GAN-SDAE-RF模型研究

针对传统机器学习方法在处理不平衡的海量高维数据时罕见攻击类检测率低的问题,提出了一种基于深度学习的随机森林算法的入侵检测模型,为了避免传统的随机森林面对高维数据和不平衡数据时分类精度低、稳定性差和对罕见攻击类检测率低的问题,引入生成式对抗网络（GAN）和栈式降噪自编码器（SDAE）对随机森林算法（RF）进行改进。将罕见攻击类数据集输入GAN神经网络中,生成新的攻击类样本,改善网络入侵数据在样本集中不均衡分布的情况,通过堆叠深层的SDAE逐层抽取网络数据的分布规则,并结合各个编码层的系数惩罚和重构误差,来确定高维数据中与入侵行为相关的特征,基于降维后的特征数据构建森林决策树。采用UNSW-NB15数据集的实验结果表明,与SVM、KNN、CNN、LSTM、DBN方法相比,GAN-SDAE-RF整体检测准确率平均提高了9.39%、误报率和漏报率平均降低了9%和15.24%以及在少数类Analysis、Shellcode、Backdoor、Worms上检测率分别提高了26.8%、27.98%、27.85%、39.97%。     

基于生成对抗网络模型的小样本PM2.5预测

针对目前数据驱动的方法在小样本下PM_2.5预测准确率较低的问题,提出一种基于生成对抗性网络(GAN)模型PME-GAN,用于在线预测PM_2.5浓度值。在生成器中加入长短期记忆网络(LSTM)并用于提取输入数据的时序特征,在判别器中加入多层感知机网络(MLP),通过生成器对PM_2.5浓度值进行预测。与LSTM、GRU、CNN-LSTM和CNN-GRU 4种模型进行对比实验,结果表明,该方法在小样本数据集上具有更高的预测准确率,对保定测试集的后25%数据开始预测,预测效果很好。     

用于白盒目标攻击的GAN对抗样本生成

深度神经网络易受对抗样本攻击的影响并产生错误输出,传统的生成对抗样本的方法都是从优化角度生成对抗样本.文中提出基于生成对抗网络(GAN)的对抗样本生成方法,使用GAN进行白盒目标攻击,训练好的生成器对输入样本产生扰动,生成对抗样本.使用四种损失函数约束生成对抗样本的质量并提高攻击成功率.在MNIST、CIFAR-10、ImageNet数据集上的大量实验验证文中方法的有效性,文中方法的攻击成功率较高.     

基于全局和局部判别对抗自编码器的异常检测方法

生成式对抗神经网络(Generative Adversarial Nets, GAN)和对抗自编码器(Adversarial Autoencoder, AAE)被成功地应用于图像生成中。此外,对抗网络能够无监督地对样本中所包含的数据特征进行学习。然而,将传统的对抗网络应用于异常检测时取得的分类效果较差,有两个方面的原因:一是GAN属于生成式模型,但异常检测模型往往被归入判别式模型的范畴;二是现有的AAE以自编码器的中间向量作为判别输入,对数据的重构效果不够理想。基于此,提出了一种基于双判别器的AAE,并将其应用于解决异常检测问题。所提方法中的双判别器具有不同的判别能力,即局部判别能力和全局判别能力。在MNIST,Fashion-MNIST和CIFAR-10数据集上的实验结果表明,所提方法能够有效避免训练过程中出现模式崩溃的问题。此外,与相关方法进行对比,所提方法取得了更优的检测性能。     

基于深度残差生成式对抗网络的样本生成方法

作为样本生成的重要方法之一,生成式对抗网络(GAN)可以根据任意给定数据集中的数据分布生成样本,但它在实际的训练过程中存在生成样本纹理模糊、训练过程不稳定以及模式坍塌等问题.针对以上问题,在深度卷积生成式对抗网络(DCGAN)的基础上,结合残差网络,设计一种基于深度残差生成式对抗网络的样本生成方法RGAN.该样本生成方法利用残差网络和卷积网络分别构建生成模型和判别模型,并结合正负样本融合训练的学习优化策略进行优化训练.其中:深度残差网络可以恢复出丰富的图像纹理;正负样本融合训练的方式可以增加对抗网络的鲁棒性,有效缓解对抗网络训练不稳定和模式坍塌现象的发生.在102 Category Flower Dataset数据集上设计多个仿真实验,实验结果表明RGAN能有效提高生成样本的质量.     

基于注意力机制的入侵检测生成对抗网络模型

针对传统基于生成对抗网络（GAN）模型存在生成对抗样本无效且训练效率低等问题,提出一种基于注意力机制的GAN模型,通过在生成器模块引入注意力机制,保留攻击流量攻击功能的同时,对输入向量的不同部分设置不同权值,以实现对关键特征信息的抽取,使得模型可以作出更准确的判断,同时提高训练的效率。生成器根据注意力特征图可以抽取攻击流量中的非功能特征进行修改,提高训练效率,结合判别器判别反馈结果,最终生成器可以生成保留攻击功能的有效对抗样本。实验针对基于卷积神经网络（CNN）类的深度入侵检测系统进行测试,验证了此基于注意力机制的GAN对抗攻击模型生成的对抗流量可以有效降低深度入侵检测系统的识别率,整体识别率降低超过10%,在注意力模块的帮助下模型能够针对重要特征进行训练,使得收敛速度更快、效率更高。     

基于改进CGANs的入侵检测方法研究

近年来,机器学习算法在入侵检测系统(IDS)中的应用获得越来越多的关注。然而,传统的机器学习算法更多的依赖于已知样本,因此需要尽可能多的数据样本来对模型进行训练。遗憾地是,随着越来越多未知攻击的出现,且用于训练的攻击样本具有不平衡性,传统的机器学习模型会遇到瓶颈。文章提出一种将改进后的条件生成对抗网络(CGANs)与深度神经网络(DNN)相结合的入侵检测模型(CGANs-DNN),通过解决样本不平衡性问题来提高检测模型对未知攻击类型或只有少数攻击样本类型的检测率。深度神经网络(DNN)具有表征数据潜在特征的能力,而经过改进后的条件CGANs,能够通过学习已知攻击样本潜在数据特征分布,来根据指定类型生成新的攻击样本。此外,与生成对抗网络(GANs)和变分自编码器(VAE)等无监督生成模型相比,CGANsDNN经过改进后加入梯度惩罚项,在训练的稳定性上有了很大地提升。通过NSL-KDD数据集对模型进行评估,与传统算法相比CGANs-DNN不仅在整体准确率、召回率和误报率等方面有更好的性能,而且对未知攻击和只有少数样本的攻击类型具有较高的检测率。     

基于LSTM模型的APT攻击信道检测方法

高级持续性威胁(APT)对网络安全构成了严重威胁.与种类多、变化快的攻击代码相比,APT攻击中的控制命令服务器(C&C服务器)间通信往往具有特定模式,黑客使用域名生成算法(DGA)生成C&C域名用来逃避域名黑名单检测.通过对APT攻击中使用的域名进行分析,利用大量C&C域名和高信誉域名作为黑白样本,训练LSTM算法模型...     

基于条件约束的胶囊生成对抗网络

生成式对抗网络(Generative adversarial networks,GAN)是主要的以无监督方式学习深度生成模型的方法之一.基于可微生成器网络的生成式建模方法,是目前最热门的研究领域,但由于真实样本分布的复杂性,导致GAN生成模型在训练过程稳定性、生成质量等方面均存在不少问题.在生成式建模领域,对网络结构的探索是重要的一个研究方向,本文利用胶囊神经网络(Capsule networks,CapsNets)重构生成对抗网络模型结构,在训练过程中使用了Wasserstein GAN(WGAN)中提出的基于Earth-mover距离的损失函数,并在此基础上加以条件约束来稳定模型生成过程,从而建立带条件约束的胶囊生成对抗网络(Conditional-CapsuleGAN,C-CapsGAN).通过在MNIST和CIF AR-10数据集上的多组实验,结果表明将CapsNets应用到生成式建模领域是可行的,相较于现有类似模型,C-CapsGAN不仅能在图像生成任务中稳定生成高质量图像,同时还能更有效地抑制模式坍塌情况的发生.     

基于生成式对抗网络的拟态蜜罐特征生成方法

拟态蜜罐借鉴生物拟态博弈思想,是一种综合运用“蜜罐模拟服务特征”的保护色机制和“服务模拟蜜罐特征”的警戒色机制进行诱骗博弈的动态蜜罐技术,其核心策略是特征生成与演化。生成式对抗网络(GAN)则是一种特征生成方法,它通过生成器与判别器之间的对抗博弈,使生成器生成的数据达到“以假乱真”的效果,其对抗博弈的思想与拟态蜜罐思想极为相近。本文提出一种基于生成式对抗网络的拟态蜜罐特征生成方法MMHP-GAN(Mimicry honeypot-GAN),通过对MMHP-GAN的结构及参数优化训练,产生真假难辨的蜜罐或服务新特征。实验表明,通过该方法生成的特征数据进行演化,服务可以有效抵抗攻击,并且通过对比,本文的方案要优于当前已有的特征生成方案。     

基于改进LSTM的桥梁传感器异常数据的检测方法

桥梁正常与否通常通过传感器来检测,但是庞大的数据量对于传统检测方来说存在很大挑战,因此提出基于长短期记忆模型循环神经网络(Long Short Term Memory、LSTM)的方法进行异常检测.首先利用小波变换与奇异谱分析(Singular Spectrum Analysis、SSA)对传感器数据进行预处理,之后利用两层LSTM对序列进行向量表示、逆序重构,利用贝叶斯优化算法对LSTM网络进行参数优化,最终通过极大似然估计(Maximum Likelihood Estimate、MLE)对该段序列进行异常得分估计,最终通过学习异常报警阈值实现时间序列异常检测并发现潜在异常.采用桥梁某部位的应变数据、风速数据与振动传感器数据进行仿真实验,验证了所提方法相比其他传统方法具有更高的精确性.     

一种基于GAN的异构信息网络表示学习方法

异构信息网络中包含丰富的结构和语义信息,通过网络表示学习保留异构信息网络的结构和语义信息是当前研究的热点。传统的异构信息网络表示学习方法局限于利用元路径的形式保留异构信息网络中的语义信息,缺乏考虑网络中所有节点的分布情况,保留的信息不够充分。因此,本文提出一种基于生成式对抗网络（Generative Adversarial Networks, GAN）的异构信息网络表示学习方法（HINGAN）,其能更好地保留网络中的结构信息和语义信息。HINGAN中通过生成模型和判别模型的对抗学习,提高表示学习的鲁棒性。基于2个真实数据集的实验结果表明,本文提出的模型与传统的异构信息网络方法相比,在节点分类和链接预测任务中的结果都有明显提升。     

基于一维卷积神经网络的HTTP慢速DoS攻击检测方法

为解决HTTP慢速拒绝服务（SHDoS）攻击流量检测在攻击频率变化时出现的准确率降低的问题，提出一种基于一维卷积神经网络（CNN）的SHDoS攻击流量检测方法。首先，该方法在多种攻击频率下对三种类型的SHDoS攻击流量进行报文采样和数据流提取；之后，设计了一种数据流转换算法，将采集的攻击数据流转换为一维序列并进行去重；最后，使用一维CNN构建分类模型，该模型通过卷积核来提取序列片段，并从片段中学习攻击样本的局部模式，从而使模型对多种攻击频率的数据流都具备检测能力。实验结果显示，与基于循环神经网络（RNN）、长短期记忆（LSTM）网络及双向长短期记忆（Bi-LSTM）网络构建的分类模型相比，该模型对未知攻击频率的样本同样具有较好的检测能力，在验证集上的检测准确率和精确率分别达到了96.76%和94.13%。结果表明所提方法能够满足对不同攻击频率的SHDoS流量进行检测的需求。     

基于一维卷积神经网络的HTTP慢速DoS攻击检测方法

为解决HTTP慢速拒绝服务（SHDoS）攻击流量检测在攻击频率变化时出现的准确率降低的问题,提出一种基于一维卷积神经网络（CNN）的SHDoS攻击流量检测方法。首先,该方法在多种攻击频率下对三种类型的SHDoS攻击流量进行报文采样和数据流提取;之后,设计了一种数据流转换算法,将采集的攻击数据流转换为一维序列并进行去重;最后,使用一维CNN构建分类模型,该模型通过卷积核来提取序列片段,并从片段中学习攻击样本的局部模式,从而使模型对多种攻击频率的数据流都具备检测能力。实验结果显示,与基于循环神经网络（RNN）、长短期记忆（LSTM）网络及双向长短期记忆（Bi-LSTM）网络构建的分类模型相比,该模型对未知攻击频率的样本同样具有较好的检测能力,在验证集上的检测准确率和精确率分别达到了96.76%和94.13%。结果表明所提方法能够满足对不同攻击频率的SHDoS流量进行检测的需求。     

基于Transformer的DGA域名检测方法

已有DGA检测方法已经获得了较高的检测精度,但在缩略域名上存在误报率高的问题。主要原因是缩略域名字符间随机性高,现有检测方法从随机性角度很难有效地区分缩略域名和DGA域名。在分析了缩略域名的字符特性后,基于自注意力机制实现了域名字符依赖性的检测;并采用LSTM改进了Transformer模型的编码方式,以更好地捕获域名中字符位置信息;基于Transformer模型构建了DGA域名检测方法(MHA)。实验结果表明,MHA可以有效地区分出DGA域名和缩略域名,得到了更高的精确率和更低的误报率。     

对抗型长短期记忆网络的雷达回波外推算法

目的 雷达回波外推是进行短临降水预测的一种重要方法,相较于传统的数值天气预报方法能够实现更快、更准确的预测。基于卷积长短期记忆网络（convolutional long short-term memory network,ConvLSTM）的回波外推算法的效果优于其他的深度学习外推算法,但是忽略了普通卷积运算在面对局部变化特征时的局限性,并且在外推过程中将损失函数简单定义为均方误差（mean squared error,MSE）,忽略了外推图像与原始图像的分布相似性,容易导致信息丢失。为解决以上不足,提出了一种基于对抗型光流长短期记忆网络（deep convolutional generative adversarial flow based long short-term memory network,DCF-LSTM）的回波外推算法。方法 首先,采用光流追踪局部特征的方式改进ConvLSTM,突破了一般卷积核面对局部变化特征的限制。然后,以光流长短期记忆网络（flow based long short-term memory network, FLSTM）作为基本模块构建外推模型。最后,引入对抗网络,与外推模型组成端到端的博弈系统DCF-LSTM,两者交替训练实现外推图像分布向原图像分布的拟合。结果 在4种不同的反射率强度下进行了消融研究,并与3种主流的气象业务算法进行了对比。实验结果表明,DCF-LSTM在所有评价指标中表现最优,尤其在反射率为35 dBZ的条件下。结论 由实验结果可知,引入光流法能够使模型具有更好的抗畸变性,引入深度卷积生成对抗网络（deep convolutional generative adversarial network,DCGAN）判别模块能进一步增加结果的准确性。本文提出的DCF-LSTM回波外推算法相比于其他算法,雷达外推准确率获得了进一步提升。     

结合迁移引导和双向循环结构GAN的零样本文本识别

为了提高基于生成对抗网络(GAN)的零样本识别方法的识别精度,提出结合迁移引导和双向循环结构GAN的零样本文本识别方法.构造双向循环结构GAN以提高模型的生成能力,生成的伪特征更接近输入的真实特征.引入迁移引导学习的思想,使用迁移后的文本代替可见类文本训练模型,提高不可见类文本的识别精度.增加有效的正则化项,使生成器在训练过程中生成的结果具有多样性,提高生成模型的稳定性.在数据集上的实验表明,文中方法可提高识别精度,具有较好的泛化性能,容易拓广到其它应用中.     

基于指标依赖模型构建与监控的攻击检测方法

随着攻击技术的不断演进,防御的难度也与日俱增.为了及时有效地识别和阻断攻击的实施,学术界与工业界已提出众多基于攻击检测的防御技术.现有的攻击检测方法主要着眼于攻击事件,通过识别攻击特征或者定位异常活动来发现攻击,分别具有泛化性和攻击导向性不足的局限性,容易被攻击者精心构造的攻击变种绕过,造成漏报和误报.然而本文根据观察发现,尽管攻击及其变种可能采用众多不同的攻击机制来绕过一些防御措施,以实现同一攻击目的,但由于攻击目的不变,这些攻击对系统的影响依然具有相似性,因此所造成的系统影响并不会随攻击手段的大量增多而随之产生对应的增长.针对该特点,本文提出基于攻击指标依赖模型的攻击检测方法以更有效地应对攻击变种.本文所提出的指标依赖模型着眼于漏洞利用后对系统的影响而非变化多样的攻击行为,因此具有更强的泛化能力.基于模型指导,我们进一步采用多层次监控技术,以迅速捕获定位攻击迹,最终实现对目标攻击与变种的精确检测,有效降低攻击检测的误报率.本文在DARPA透明计算项目以及典型APT攻击组成的测试集上与现有的基于攻击事件分析的检测方法进行实验对比,实验表明在预设场景下本文所提出的方法可以以可接受的性能损耗实现99.30%的检出率.     

基于深度加权特征学习的网络安全态势评估

计算机网络高速发展的同时也带来了许多的安全问题,对网络安全进行有效的网络安全态势评估对于掌握网络整体的状态并帮助管理人员全面掌握整体态势具有重要意义。然而,现有的网络安全态势评估方法存在特征要素提取困难、准确率低、时效性差的问题。针对这些问题,提出一种面向网络威胁检测的基于深度加权特征学习的网络安全态势评估方法。首先,考虑到单个稀疏自动编码器进行特征提取时无法很好的拟合不同攻击的分布,从而影响威胁检测准确率的缺点,构建一个基于并行稀疏自动编码器的特征提取器提取网络流量中的关键信息,并将其与数据原始特征进行融合。其次,为了更多的关注网络流量中的关键信息,采用注意力机制改进双向门控循环单元网络,对网络中的威胁进行检测并统计每种攻击类型的发生次数以及误报消减矩阵。然后,根据误报消减矩阵修正每种攻击类型的发生次数,并结合威胁严重因子计算得到威胁严重度。最后,根据威胁严重度和每种攻击类型的威胁影响度确定网络安全态势值以获取网络安全态势。本文选取NSL-KDD数据集进行实验验证,实验结果显示本文方法在测试集上达到了82.13%的最高准确率,召回率、F1值分别达到了83.36%、82.74%。此外,...     

工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。