基于大数据分析的APT攻击检测研究综述

高级持续性威胁（APT, advanced persistent threat）已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先,结合典型APT攻击技术和原理,分析攻击的6个实施阶段,并归纳攻击特点;然后,综述现有APT攻击防御框架研究的现状,并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展;最后,提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架,并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。     

互联网高级持续性威胁分析取证手段及技术研究

本研究主要对互联网高级威胁及原始流量分析手段及技术进行研究及分析,阐述了该方面研究的现状及主要技术手段,并说明了研究互联网高级威胁重点及难点主要是合理有效的分析手段。本文针对一种新型的、典型的互联网威胁分析系统,该系统针对原始流量进行采集和监控,对流量信息进行深度还原、存储、查询和分析,为及时掌握核心网络及系统的相关互联网安全威胁风险,以及检测漏洞、病毒、木马、网络攻击情况,发现网络安全事件的具体原因及可能存在的风险,对重大互联网安全威胁进行预警及预防,对互联网上存在的恶意行为及威胁进行溯源、分析、取证、处置及预防,提出了一种全新的解决思路,在保障重要信息系统的网络安全方面有了技术及理念性的创新。     

面向网络基础设备的流量识别与威胁检测技术

随着网络的不断发展,网络空间面临的风险也在不断增加,其中网络基础设备面临的风险增长迅速。面对复杂多变的网络环境,在混杂且庞大的网络流量中,快速识别并分离出网络基础设备自身流量,并对其进行深度威胁分析与检测,对网络空间安全有紧迫且重要的意义。基于流量采集与处理技术,聚焦通信指纹预测技术和设备时钟分析技术,探讨了面向网络基础设备的流量识别与分离技术,为后续针对性威胁分析与检测提供数据基础,并基于智能算法模型,进一步研究了针对网络基础设备流量的威胁分析与检测方法。     

基于僵尸网络流量特征的深度学习检测

僵尸网络作为一种新型攻击方式,如今已成为互联网安全领域面临的重大威胁。随着计算机网络的发展,僵尸网络逐渐从传统的基于IRC协议向基于HTTP协议转变。海量的HTTP数据流使得僵尸网络可以有效的隐藏自身,这给僵尸网络的检测和识别增加了难度。通过分析HTTP网络流量,获取僵尸网络流量特征,提出将深度学习应用于僵尸网络检测的方法。实验结果显示,该方法可以有效地、准确地从HTTP流量中检测僵尸网络。     

网关安全新方向——捷普智能型防火墙

网络的高可用性已成为信息化应用的重要基础。信息技术的发展和网络应用的丰富,网络攻击行为呈多样化和多变性,基于IP和端口防范的传统防火墙无力解决这些嵌人应用层的新安全威胁；网络流量日益增加，大量非业务访问使用，易造成网络拥塞，浪费带宽资源，基于应用行为的网络流量管理和控制尤为重要，传统防火墙受处理机制限制，     

基于网络全流量分析技术的异常威胁检测研究

网络安全防护形势下,面对0day漏洞、木马病毒等的隐蔽信道传输攻击,通过基于网络全流量的异常检测技术,建立起异常流量行为模型,对某一攻击链的网络异常流量、威胁情报等数据信息进行获取,分类统计异常时间点的信息熵、特征项集,检测与分析不同时间的采样点流量特征、异常流量特征的攻击链模式,还原网络异常威胁的攻击过程,来有效完成异常流量、威胁情报的提取与检测。     

精细化网络流量分析的作用

络安全问题是现代社会中的重要问题。随着网络技术的发展，网络攻击手段也日趋复杂和隐蔽，传统的网络安全防护方法已经无法满足对抗各种恶意攻击的需求。而网络流量分析作为一种关键技术，被广泛应用于网络安全防护、网络优化以及网络监管等领域。精细化网络流量分析是一种能更加精准地分析网络流量，并定位网络安全问题的技术，它能通过对网络流量的深入挖掘和分析，发现并防范隐藏在网络背后的威胁。因此，精细化网络流量分析具有非常重要的意义。     

加密流量检测与态势预警平台研究

网络流量检测是实现网络整体安全态势感知的主要手段,通过采集网络流量、脆弱性、安全事件和威胁情报等数据,利用大数据和机器学习技术,分析网络行为及用户行为等因素构成的整个网络当前状态和变化趋势,并预测网络安全状态发展趋势。随着密码技术的广泛应用,网络中存在着越来越多的加密流量,如HTTPS、VPN流量;由于加密技术的使用,破坏了明文数据的统计特点、数据格式等,用通用的流量检测方法很难有效检测加密流量,基于加密技术的随机性、网络上下文等,结合人工智能技术和机器学习方法,研究和设计了网络加密流量检测体系框架、方法和关键技术,对加密流量的检测具有较强的指导意义。     

主动网络流水印技术研究进展

在匿名网络环境下通信双方关系确认、僵尸网络控制者追踪、中间跳板主机发现等方面,以被动网络流量分析（passive traffic analysis）为核心的传统入侵检测与流关联技术存在空间开销大、实时性差、识别率低、灵活性欠佳、难以应对加密流量等明显缺点。而将主动网络流量分析与数字水印思想相融合的主动网络流水印（ANFW, active network flow watermark）技术能有效克服传统被动网络流量分析方法的不足,已引起了国内外学者的广泛关注。首先阐述了ANFW机制的通用模型,总结了ANFW技术的分类及所涉及的角色关系;其次,详细综述了近年来提出的多种典型的基于不同网络流特征的ANFW技术,并进行对比性总结;最后,概述了当前ANFW技术自身安全威胁及应对措施现状,展望了其未来的研究方向。     

基于数学建模的无线通信网络异常流量检测方法

由于传统方法在无线通信网络异常流量检测应用中平均绝对百分比误差比较大,响应时间比较长,无法取得预期的异常流量检测效果,提出基于数学建模的无线通信网络异常流量检测方法。建立无线通信网络流量数学模型,描述网络流量状态,利用数学模型完成网络流量与参考流量对比,利用相像系数法提取到网络流量显性特征,利用小波分析技术提取到网络流量隐性特征,通过特征融合,并将特征值与阈值比较,识别检测到异常流量,以此完成基于数学建模的无线通信网络异常流量检测。经实验证明,设计方法平均绝对百分比误差小于1%,响应时间在2.5s以内,在无线通信网络异常流量检测方面具有良好的应用前景。     

威胁诱捕感知系统设计与应用

随着Internet的快速发展,网络安全已变得越来越重要,现有的网络安全技术都是被动防御,具有其固有的弊端。如何在第一时间感知威胁,并及时响应是网络安全防护的关键。本文在研究企业网络安全现状及网络欺骗关键技术的基础上提出了威胁诱捕感知系统并将其应用到实际的企业环境当中,迷惑欺骗攻击者的同时记录攻击信息,开展网络安全应急响应。弥补传统安全防护系统对未知攻击检测的不足,有效地提高了企业网络主动防御的能力。     

基于人工智能的威胁检测与防护系统

文中针对传统的基于签名匹配的威胁检测系统存在的局限,探讨了人工智能技术在网络安全防护中的应用。通过分析异常检测、恶意软件检测和自动化安全响应3个方面,阐明了机器学习和深度学习模型可以实现对未知威胁的检测和主动防御。研究认为,人工智能驱动的网络安全防护系统代表了技术发展的方向,但还需进一步的数据积累和模型优化,以实现更智能的商业安全产品的开发。     

基于卷积神经网络的安全防御模式研究

计算机网络在为人们提供各种便利服务的同时也面临着许多的安全威胁,如木马或病毒等.不法分子通过网络攻击,破坏网络服务和用户数据,为人们带来严重的威胁.网络安全专家和企业机构提出了很多安全防御技术,一定程度上提高了网络安全防御能力,但是随着互联网数据和流量的快速增加,网络攻击的种类和数量呈现出指数级增长,急需提出新的防御技...     

一种个人入侵防御系统方案研究

入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而新发展起来的一种信息安全技术。系统采用NDIS Hooking技术捕获本机进出的网络数据流，通过模式匹配算法可以一次在数据包的负载中查找多个入侵模式。该系统不仅能够实现入侵检测的功能，而且可以在入侵检测的基础上提供有效的阻断。     

Network threat situation assessment based on unsupervised multi-source data feature analysis

Aiming at the limitations of supervised neural network in the network threat testing task relying on data category tagging,a network threat situation evaluation method based on unsupervised multi-source data feature analysis was proposed.Firstly,a variant auto encoder-generative adversarial network (V-G) for security threat assessment was designed.The training data set containing only normal network traffic was input to the network collection layer of V-G to perform the model training,and the reconstruction error of the network output of each layer was calculated.Then,the reconstruction error learning was performed by the three-layer variation automatic encoder of the output layer,and the training abnormal threshold was obtained.The packet threat was tested by using the test data set containing the abnormal network traffic,and the probability of occurrence of the threat of each group of tests was counted.Finally,the severity of the network security threat was determined according to the probability of threat occurrence,and the threat situation value was calculated according to the threat impact to obtain the network threat situation.The simulation results show that the proposed method has strong characterization ability for network threats,and can effectively and intuitively evaluate the overall situation of network threat.     

基于精细流量的网络异常行为检测研究

随着Internet的快速发展和网络应用范围的不断扩大,网络日益遭受到了黑客更多的恶意攻击,计算机网络的安全问题已成为一个国际化的问题。面对诸多的挑战与威胁,入侵的检测与防范技术必然成为当前安全审计中的核心技术之一。文章首先介绍了异常检测的发展概况和相关技术,对常用的检测算法进行了分析和评价,为基于网络精细协议流量分析的网络异常实时检测方法的研究提供理论基础。     

基于流量时空特征的fast-flux僵尸网络检测方法

僵尸网络已成为网络空间安全的主要威胁之一,虽然目前可通过逆向工程等技术来对其进行检测,但是使用了诸如fast-flux等隐蔽技术的僵尸网络可以绕过现有的安全检测并继续存活。现有的fast-flux僵尸网络检测方法主要分为主动和被动两种,前者会造成较大的网络负载,后者存在特征值提取繁琐的问题。因此为了有效检测fast-flux僵尸网络并解决传统检测方法中存在的问题,该文结合卷积神经网络和循环神经网络,提出了基于流量时空特征的fast-flux僵尸网络检测方法。结合CTU-13和ISOT公开数据集的实验结果表明,该文所提检测方法和其他方法相比,准确率提升至98.3%,召回率提升至96.7%,精确度提升至97.5%。