基于项目流行度和新颖度分类特征的托攻击检测算法

针对有监督检测方法在检测托攻击时准确率不高的问题,提出一种基于项目流行度和新颖度分类特征的托攻击检测算法。首先,根据真实概貌和攻击概貌在选择评分项目方式上不同,从流行度和新颖度角度,提出有效区分正常用户和攻击用户的特征;然后,基于这些特征提出一种集成检测框架,通过Boosting提升技术产生多个差异较大的基分类器,并且通过融合带有权重的基分类器的预测值得到最终的检测结果。实验结果表明,基于项目流行度和新颖度分类特征的托攻击检测算法能够提高攻击检测的准确率和召回率。     

基于改进的TCM-KNN DoS检测算法

由于实现方式简单、攻击形式多样、威胁范围广、不易防御和区分,拒绝服务(DoS)攻击已经成为网络的最主要安全威胁之一。该文提出了一种ITCM-KNN算法,在此基础上建立了DoS检测框架。使用标准数据集KDD Cup 1999进行算法验证和分析实验。采用基于信息增益算法选择了5个特征,在保证高检测效果的同时减少了特征的维数。该算法不需要对攻击进行学习和建模,使用少量的正常样本作为训练集,提高了检测性能。实验结果表明,改进的TCM-KNN算法检测率高于SVM等算法,达到99.99%。     

基于协同谱聚类的推荐系统托攻击防御算法

提出了一种基于协同谱聚类的推荐系统托攻击防御算法. 该算法首先使用谱聚类方法对协同聚类算法进行改进,以在用户和项目2个维度上同时进行聚类;接着在聚类基础上结合分级偏离平均度对用户进行项目推荐. 实验测试结果表明,在同等托攻击规模的情况下,该算法可以降低实施托攻击的用户和攻击数据对系统推荐结果的影响.     

基于机器学习的DDoS攻击检测

简要回顾了DDoS攻击的工作原理和造成的危害,介绍了KNN和XGBoost两种机器学习算法的基本流程,提出了一种结合KNN算法和XGBoost算法的新DDoS攻击检测模型.在新模型中,通过使用KNN算法训练出模型,预测一个评分,作为新的特征加入原数据集中,再放到XGBoost中进行新一轮训练.利用标准数据集KDD CUP99进行了实验.实验数据表明,KNN和XGBoost融合模型训练和攻击检测的速度快,适用于DDoS攻击检测.     

基于累积量的DoS攻击检测算法

针对现有DoS攻击检测算法中检测率较低,检测时间较长的问题,提出一种基于高阶统计量的DoS攻击检测算法.算法分割并量化网络流量数据包,提取累积量特征,将累积量应用到DoS攻击检测中.通过分析1998DARPA入侵检测数据集,该算法能够有效检测DoS攻击.相对于传统基于网络流量熵值的异常检测法,该算法在检测精度上有较大提高,在1 s的时间窗口内,检测率提高了8%.     

一种应用层分布式拒绝服务攻击快速检测方法

提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击行为的差异,构建了检测自动机模型。该方法将应用层协议用户行为抽象成一系列协议关键字的交互,主要根据应用层协议关键字的统计特征生成用户行为统计特征向量,构造基于逼近理想点排序算法的模型分类器,同时对模型进行训练得到最优分类距离阈值,从而对DDoS攻击行为作出判定。高速网络环境下的测试结果表明了此方法的有效性。     

多类支持向量机的DDoS攻击检测的方法

为了利用SVM准确的检测DDoS,需要找到区分正常流和攻击流的特征向量,根据DDoS攻击的特点,提出了独立于流量的相对值特征向量。为了在指示攻击存在的同时,也指示攻击强度,多类支持向量机(MCSVM)被引入到DDoS检测中。实验表明,RLT特征与MCSVM相结合,可以有效检测到不同类型的DDoS攻击,并且能准确地指示攻击强度,优于目前已有的检测方法。使用RLT特征进行DDoS检测,比使用单一攻击特征进行识别的方法,包含更多的攻击信息,可以得到较高的检测精度。     

受免疫原理启发的Web攻击检测方法

随着Internet应用的不断深入,Web服务器成为了黑客的主要攻击目标。为克服传统误用入侵检测系统无法识别未知Web攻击和异常入侵检测系统误报率高等缺陷,受生物免疫系统启发,该文提出了一种基于免疫原理的Web攻击检测方法。给出了自体、非自体、抗原、抗体基因库、免疫细胞等的数学定义,描述了免疫学习算法。对比实验结果表明该方法较传统的基于神经网络和ID3算法的Web攻击检测技术能有效检测未知Web攻击,具有检测率和分类率高、误报率低和实时高效等特点,是检测Web攻击的一种有效新途径。     

基于LSTM与随机森林混合构架的钓鱼网站识别研究

针对传统的钓鱼站点攻击检测模型时延高、效率低、特征提取复杂的问题,提出一种使用长短期记忆网络(long short term memory,LSTM)和随机森林的混合算法模型。该模型主要包括网址上下文特征提取和混合特征分类两部分。首先,根据循环神经网络特点建立128步长的深度网络结构。实验数据参考开源社区提供的钓鱼网站网址和正常网址情报。利用自然语言处理技术对网址数据进行编码得到具有局部特征的网址序列。通过构建的LSTM网络对网址序列进行字符上下文特征提取,结合传统检测方法中的非字符序列特征,共同构成实验特征集。随后,利用随机森林获取每一个特征的最佳分裂点,构建混合特征分类模型。该模型以网址数据为检测源,一方面降低了随机森林的字符序列特征维度,另一方面结合传统钓鱼网址检测中的非序列特征,弥补了LSTM算法检测特征单一的问题。为验证该模型的有效性,设计了本文模型与随机森林算法、LSTM算法的对比实验,并进一步对不同LSTM训练规模的时间成本进行分析。从实验中发现,基于LSTM与随机森林的混合模型大幅度提高了钓鱼网站的识别准确率,模型准确率达到98.52%,比相同训练规模的LSTM准确率高3%,比实验中的单一随机森林准确率高7%。同时,相比于LSTM算法同等幅度的准确率提升,该混合算法具有更小的时间代价。实验结果表明,作者提出的混合模型克服了传统识别模型在特征提取、识别效率上的问题,适合于海量钓鱼网站攻击的快速识别。     

基于动态阈值的可变速率DDoS攻击检测方法

针对可变速率DDoS攻击检测难的问题,提出了一种基于动态阈值的可变速率DDoS攻击检测方法。该方法根据DDoS攻击流量特征,生成动态阈值,并应用冻结机制防止动态阈值参数被攻击流量污染,同时结合网络流的特征,使用BiLSTM模型双向学习经过时间分割的网络流量,提取更多特征,识别可变速率DDoS攻击。在NSL-KDD数据集上进行实验,召回率达到98%,精度达到95%。实验表明：相比于固定阈值DDoS和传统动态阈值DDoS攻击检测方法,本文提出的方法在检测精度上有所提升,对DDoS攻击的检测能力有了显著提高。     

基于数字水印的人脸与声纹融合识别算法

提出远程多模态的生物特征数字水印算法,将声音特征作为水印加入到人脸图像中.运用文献[1]提出的改进型量化索引调制(QIM)方法,算法加入一个脆弱型的水印用于篡改检测,同时加入一个鲁棒型水印用于隐藏声音的高斯混合模型(GMM)参数.利用人脸、声纹和多模态识别算法,提出的方法能够实现对篡改的检测,对常见的攻击,例如图片缩放、高斯噪声、模糊化、伽马校正和JPEG压缩等具有鲁棒性.在由295人组成的XM2VTS数据库上,该多模态系统能够获得95.93%的识别率,同时获得3.19%的等错误率.     

一种基于多音字的中文文本篡改检测水印算法

该文基于零水印原理,采用文本中两个多音字之间的汉字以及多音字的读音特性来构造零水印,提出一种基于多音字特征的中文文本篡改检测水印算法.仿真实验表明,该算法产生的水印不仅具有较好的不可见性和鲁棒性,同时还能识别定位出对文本内容的删除、添加和替换等的攻击.     

一种主动检测和防范ARP攻击的算法研究

为了能有效对抗ARP攻击,提出一种采用主动检测技术的算法.在算法中,对主机发送和接收的ARP报文头信息进行一致性检测,丢弃ARP头信息不一致的ARP报文;根据接收的ARP报文信息构造特定数据包,采用主动检测方法对发送方实施身份认证,拒绝未通过认证的报文;依照先发送请求后接收应答规则验证ARP应答,拒绝无请求型应答.与其它ARP攻击解决方法相比较,该算法除了能更快速和准确检测出其它机器对本机的ARP攻击,还能阻止本机对其它机器进行ARP攻击,能更有效地防止ARP攻击.     

基于数据挖掘算法的DDoS攻击检测系统设计

在分析了DDoS攻击的特征基础上,建立了基于数据挖掘算法的检测模型,该模型使用k-means聚类算法与Apriori关联规则对网络流量与数据包连接状态分别建立特征模型,实验表明,该检测模型能够实时有效的检测DDoS攻击.     

恶意PDF检测中的特征工程研究与改进

在基于机器学习的恶意PDF检测中,现有特征容易引起混淆或逃逸。为了提高特征的准确性和鲁棒性,在现有方法的基础上研究和改进特征提取方法,结合内容特征、结构特征以及逻辑树的间接结构特征,通过分析特征重要性进行特征选择,最后应用分类算法实现恶意PDF检测。结构特征包括多个高频次叶子节点数量;内容特征包括元数据特征、字节熵值、流字节比例等特征。收集实验数据集,提取特征并分析,最终选择出58维特征,使用LightGBM算法训练梯度提升决策树模型,测试准确率为99.9%,优于其他方法。另外,模拟攻击部分样本的特征,生成对抗样本,检测准确率同样达到99.2%。     

一种基于SIFI的DWT域抗几何攻击水印算法

针对基于小波变换的图像水印算法抗几何攻击问题,提出一种改进的水印算法。该算法先对图像进行三级离散小波变换,利用奇偶量化规则将水印嵌入到低频系数的最大奇异值上。通过尺度不变特征变换特征点估算出几何失真参数,再校正图像并提取水印,达到抵抗几何攻击的目的。实验结果表明,该算法不仅能抵抗JPEG压缩、噪声、滤波等常规信号处理攻击,也能较好地抵抗旋转、缩放、平移等几何攻击。     

对等网络泛洪DDoS攻击的防御机制

研究Gnutella协议的P2P网络中DDoS攻击,提出一种分布式的基于节点标识识别和节点流量实时检测过滤的自适应性DDoS攻击防御机制。通过在节点本地构建的信任和信誉机制对恶意节点主动阻断及对消息包的DDoS攻击特征的实时检测策略,实现对DDoS攻击的防范。仿真实验结果表明,该机制能有效地隔断网络中75%恶意消息数,节点能阻断80%的恶意消息数的转发,提高了网络抵御DDoS攻击的效能。     

DMIDS中的特征构造方法研究

基于数据挖掘的入侵检测系统(DMIDS)是将数据挖掘技术用于分析系统审计数据,从中提取用户正常行为模式和黑客入侵模式,用于检测攻击.在DMIDS的实现过程中,特征构造是一个关键环节.描述了建立入侵检测模型的数据挖掘过程,设计了一个特征构造算法,该算法能自动地根据频繁模式构造临时和统计特征,用来辅助建立入侵检测模型,此构造方法所构造的特征具有较高的信息增益度.     

基于CNN和犹豫模糊决策的欺诈攻击检测

推荐系统能够有效缓解互联网的迅猛发展带来的信息过载问题,但欺诈攻击的存在制约了推荐系统的健康发展,因此如何准确、高效地检测欺诈攻击是推荐系统安全领域的重要问题。针对传统检测方法依赖专家知识人工提取特征的局限性以及已有基于深度学习的欺诈攻击检测方法存在的硬分类问题,利用卷积神经网络（CNN）自动获取用户空间和时间上的低维表示向量,提出了一种基于CNN和犹豫模糊集的欺诈攻击检测方法CNN-HFS。首先对每个用户分别从评分值、评分偏好和评分时间这三个视角抽取三个行为矩阵,利用双三次插值法对三个矩阵进行缩放得到对应的密集评分矩阵、密集偏好矩阵和密集时间矩阵;然后,将每个用户任意视角下的缩放矩阵视为一个图像,在三个不同视角下分别训练CNN,计算任意用户在每个视角下属于攻击用户类的隶属度;最后,引入模糊犹豫集对多视角下的检测结果进行综合决策,根据决策结果识别出攻击用户。实验结果表明,CNN-HFS在MovieLens 1M数据集上的F1值超过95%,在Amazon数据集上的F1值达到85%。与七种对比方法相比,CNN-HFS在两个数据集上均具有更高的检测精度、召回率及F1值。     

带网络攻击识别机制的传感器网络分布式滤波算法

研究了面向网络攻击的无线传感器网络的分布式目标估计问题.由于测量范围有限,网络中只有部分传感器能测量到目标,而且节点受到随机的攻击从而使得测量值被注入虚假信息.在此背景下,本文提出了基于攻击检测识别策略的改进分布式卡尔曼滤波算法.在该算法中,节点首先基于设计给出的攻击识别阈值来判断其是否受到攻击,生成识别因子;然后以估计误差协方差的迹最小为信息融合原则来设计一致性卡尔曼滤波算法,对处于监测域内的运动目标进行分布式状态估计.同时,分析了算法的收敛性,明确给出了网络估计误差均方有界的随机攻击概率的充分条件.最后用数值仿真验证了算法的有效性和优越性.