基于深度学习的网络恶意登录异常检测方法研究

针对网络恶意登录异常检测过程中对用户操作日志的特征提取准确率低、泛化性差所导致的网络攻击识别率低、网络管理员反馈不及时等问题,结合注意力机制以及循环神经网络,提出一种基于深度学习的网络恶意登录异常检测方法.该方法针对不同类型的用户操作日志,使用了word-level和char-level两种编码方式;使用LSTM模型提取用户操作日志中所蕴含的特征信息,以识别用户操作日志中的正常行为;通过注意力机制使模型更加关注操作正常的特征信息,同时过滤冗余操作,得到用户操作评分;设定阈值判断该日志流是否为恶意登陆,并同时反馈给网络管理员.实验结果表明,本文所提方法可针对不同用户日志进行编码,特征提取准确率高,网络恶意登陆异常检测的F1-Score达到了0.976.     

基于生成对抗网络的异常行为模拟算法研究

信息技术飞速发展导致了网络上的信息日益增加,随之而来的网络攻击日渐频繁,其频率和破坏力都在不断上升,攻击的隐匿性也越来越高。隐藏在大量信息下的网络攻击和异常行为,亟需有效的检测方法。训练机器学习检测算法时,对异常样本的数量要求较高。当异常样本在训练数据集中比例较小时,获得的模型检测效果较差。本文提出一种基于生成式对抗网络(Generative Adversarial Network,GAN)的异常数据模拟算法,用于提高训练样本中异常数据集的比例,解决了训练样本数据不均衡的问题,并利用K-means算法验证了生成样本数据的质量。     

基于图神经网络的P2P僵尸网络检测方法

P2P僵尸网络因具有较高的隐蔽性和健壮性,已经成为新型的网络攻击平台,对网络空间安全造成的威胁越来越大,但现有基于规则分析或流量分析的检测方法不能有效检测.为了解决P2P僵尸网络隐蔽性强、难以识别等问题,提出了一种基于图神经网络(graph neural network,GNN)的P2P僵尸网络检测方法.该方法不依赖流...     

基于多源波束形成的网络攻击特征提取算法研究

提出了一种基于多源波束形成的网络攻击特征提取算法进行网络攻击检测;构建了多源分布下的网络攻击信号模型,实现了对网络攻击数据的采集和信号拟合;采用二阶格型陷波器实现了对攻击信号的抗干扰滤波处理;采用多源波束形成进行网络攻击的包络特征提取,提高了网络攻击信号的空间增益和在时间尺度上的指向性.仿真结果表明,采用该算法进行网络攻击特征的提取,能有效提高对网络攻击检测的准确概率,性能优越,在网络安全防御中有重要的应用价值.     

空间复用令牌协议错误检测机制的QoS

传统无线令牌环协议具有一定的错误检测机制,但没有对其服务质量(QoS)性能进行系统研究和分析. Ripple和改进型无线令牌协议等空间复用令牌协议令牌传递不同步,没有任何错误检测机制. 基于此,提出一种令牌自产生的概念,通过将其与固定令牌持有时间机制相结合,采用计时器队列实现空间复用令牌协议多令牌同步并行传递,在此基础上提出基于邻居监听的错误检测机制,并对算法的QoS指标进行了理论分析和仿真. 仿真结果表明,该机制可及时检测网络错误并进行有效处理,正确检测概率较高,适合在无线空间复用令牌网络中使用.     

一种基于优先权的自相似流量接纳控制新算法

针对现今网络业务流量的自相似特性,选取具备显著自相似特征的分形布朗运动流（FBM）为自相似流量模型,提出一种基于优先权的接纳控制新算法.首先,应用统计网络演算对自相似业务的带宽需求进行了更准确的估计;其次,对业务进行优先级标记,对网络中需要保护的重要业务赋予较高的优先级,进行优先强制接纳.通过仿真验证和数值分析,结果表明新算法能给予需要保护的业务更加稳定的接纳性能.     

利用接触跟踪机制实现Email蠕虫的检测

针对E-mail蠕虫逐渐成为一种主要的网络威胁,提出基于接触跟踪机制检测蠕虫的方法CTCBF.该方法利用"差分熵"对单个网络节点的异常连接行为进行检测,再通过异常节点之间的连接关系利用跟踪算法建立跟踪链,当跟踪链的长 度达到设定阈值时,跟踪链上的可疑节点被确认为感染节点.针对阈值的不确定性,提出了一种动态阈值方法,根据...     

基于特征符号表示的网络异常流量检测算法

为了准确检测网络中的流量异常情况,确保网络正常运行,提出基于特征符号表示的网络异常流量检测算法（NAAD-FD）. NAAD-FD算法利用趋势转折点将网络流量数据按照基于趋势特征的符号表示方法进行转化,按照表示结果将原始数据转化为包含7项特征值的子序列,将7项特征值运用到提出的距离计算方法中;结合基于密度的算法,按照时间序列的网络异常流量定义执行异常检测. 通过对算法参数、仿真数据和真实网络流量数据的实验与分析可知,该算法具有较强的鲁棒性,验证了该算法的有效性和稳定性. 该算法通过降维简化表示,显著降低了算法的时间复杂度,有效加速异常检测过程约40%.     

基于流内与流间网络编码的DTMSN广播传输机制

提出了一种基于流内与流间网络编码的延迟容忍移动传感器网络(DTMSN)高效广播传输机制.在该机制中,汇聚节点利用随机线性网络编码将原始数据处理成编码包,然后转发给传感器节点.传感器节点间利用一种优化的机会网络编码算法交换编码包.当传感器节点收到足够多的线性无关编码包时解码得到原始广播数据.理论分析和仿真实验表明,与仅基于随机线性网络编码的广播传输机制相比,该机制能进一步减小广播时延和网络负载.     

因果图增强的APT攻击检测算法

随着信息技术的发展，网络空间也面临着越来越多的安全风险和威胁。网络攻击越来越高级，高级持续性威胁(APT)攻击是最复杂的攻击之一，被现代攻击者普遍采用。传统的基于网络流的统计或机器学习检测方法难以应对复杂且持续的高级持续性威胁攻击。针对高级持续性威胁攻击检测难的问题，提出一种因果图增强的高级持续性威胁攻击检测算法，挖掘网络节点在不同时刻的网络交互过程，用于甄别网络流中攻击过程的恶性数据包。首先，利用因果图对网络数据包序列进行建模，将网络环境的互联网协议(IP)节点之间的数据流关联起来，建立攻击和非攻击行为的上下文序列；然后，将序列数据归一化，使用基于长短期记忆网络的深度学习模型进行序列二分类；最后，基于序列分类结果对原数据包进行恶性甄别。基于DAPT 2020数据集构建了一个新的数据集，所提算法在测试集上的受试者工作特征曲线的曲线下面积(ROC-AUC)指标可达0.948。实验结果表明，基于因果图序列的攻击检测算法具有较显著的优势，是一种可行的基于网络流的高级持续性威胁攻击检测算法。     

人工免疫系统在计算机安全中的应用

主要介绍人工免疫系统计算机安全领域的研究现状，包括异常诊断、网络入侵检测和病毒检测三方面，首先介绍基于免疫系统阴性选择原理的阴性选择算法原理，不同研究人员对该算法进行了改进并应用于异常诊断和网络入侵检测系统中；然后总结基于阴性选择算法以及主体与免疫系统原理相结合的两种不同的计算机入侵检测系统的特点；最后对基于免疫识别原理的计算机病毒检测和消除系统进行归纳，指出人工免疫系统在计算机安全领域的发展方向。     

基于会话流聚合的隐蔽性通信行为检测方法

采用隐蔽技术对抗安全检测并实现长期潜伏与信息窃取的网络攻击已成为当前网络的重大安全问题。目前该领域面临3个难题:1）攻击本身的强隐蔽性使其难以检测;2）高速网络环境中的海量通信数据使检测模型难以细粒度构建;3）隐蔽通信的持续性和复杂性使标签数据缺乏进而加大了模型的构建难度。针对上述3个问题,该文在对长时间的校园网流量进行大数据统计分析的基础上,对基于隐蔽会话的隐蔽性通信行为进行了描述和研究,提出了一种隐蔽性通信行为检测方法。该方法首先通过并行化会话流聚合算法聚合原始会话流,然后从集中趋势和离散程度的角度刻画隐蔽通信行为,并引入标签传播算法扩展标签数据,最后构建多分类检测模型。通过仿真和真实网络环境下的实验,验证了方法对隐蔽性通信行为的检测效果。     

交通事件小波神经网络算法的探讨

回顾了传统的交通事件检测的算法,结合当前世界流行的检测方法,提出利用小波分析和神经网络进行交通事件的检测的方法,并详细介绍了事件检测的流程图和算法的思想。与传统算法相比较,小波分析和神经网络结合用于交通事件检测的算法具有检测率高、误报率低和检测时间短等优点,但同时也指出了其不足之处,为以后进一步的研究提供了方向。     

基于多维时间序列分析的网络异常检测

针对实际网络异常检测要求高检测率、低误报率的问题,提出了一种基于多维时间序列的检测方法。首先,通过对实际网络流量进行长期观测,提取多维特征对网络流量进行描述;然后,利用时间序列分析方法对多维特征进行预测,计算预测值与真实值的时间序列偏离度,并且实时更新偏离度,适应多变的网络环境;最后,利用支持向量机（SVM）算法对偏离度向量进行分类判别,判断是否发生异常。目前该方法已应用于校园网关键服务器的实时监测与防护工作中,实际服务器流量的预测、告警结果表明,该方法可以有效检测网络中的异常流量。     

一种面向动态网络的社团检测与演化分析方法

针对制约动态网络演化分析方法发展的社团演变模式挖掘问题,设计了基于指向性变异策略和变邻域搜索算法的静态社团检测算法与基于匹配度和社团生存周期的社团演化分析算法,并采用在时刻上运行静态社团检测算法、在时序上运行社团演化分析算法的策略,提出了一种面向动态网络的社团检测与演化分析方法。并用Zachary空手道俱乐部网络和Power网络验证了该方法的可行性和有效性。     

异构网络环境中的拥塞丢包率仿真分析

针对TCPVegas算法在异构网络环境中流量公平性导致的拥塞丢包问题,将TCPVegas拥塞控制算法与主动队列控制策略来行结合分析,提出了将网络模型中不同层次的拥塞控制机制进行结合的算法。网络仿真表明,结合算法能有效避免拥塞丢包。该算法对随机早期检测算法进行了改进,使其能够区分突发流量,从而降低拥塞丢包率,这也将为高可靠性网络的发展提供一个优良的参考价值。     

Abnormal Crowd Behavior Detection Based on the Entropy of Optical Flow

To improve the detection accuracy and robustness of crowd anomaly detection, especially crowd emergency evacuation detection, the abnormal crowd behavior detection method is proposed. This method is based on the improved statistical global optical flow entropy which can better describe the degree of chaos of crowd. First, the optical flow field is extracted from the video sequences and a 2D optical flow histogram is gained. Then, the improved optical flow entropy, combining information theory with statistical physics is calculated from 2D optical flow histograms. Finally, the anomaly can be detected according to the abnormality judgment formula. The experimental results show that the detection accuracy achieved over 95% in three public video datasets, which indicates that the proposed algorithm outperforms other state-of-the-art algorithms.     

企业IT网络异常流量综合检测模型与算法(会议)

结合企业内部IT网络特点,提出了用时间窗比较进行网络异常流量检测的新算法;将所提出的新算法同已有的静态、动态检测算法相结合,提出了网络异常流量综合检测模型。模型通过不同方法和不同角度比较来发现网络中是否存在异常流量,最后通过实际实现和测试验证模型的有效性。     

回归模型中基于机器学习的流量预测算法

在基于机器学习的流量预测算法中,详细研究了基于回归模型的预测算法,将机器学习算法引入到网络流量预测中,提出了不同的弱回归算予用来描述网络流量中的非线性特性。针对网络流量中的自相似特性,提出两种不同的机制,即用主成分分析作为预处理和为每一维特征保留一组权重分布;同时,针对实验中发现的过匹配现象提出一种自适应的权重更新准则。     

一种基于主成分分析算法的网络异常检测实现

针对分布式网络的网络异常检测,提出一种多维数据特征自适应的异常检测算法,算法在主成分分析算法（PCA）的基础上进行异常特征自适应修正.在对网络流量数据经过了PCA处理后,确定贡献率高的维度,给出异常与维度特征的关联,进行特征自适应修正.实验结果表明,算法降低了网络异常检测的执行开销,提高了网络异常检测的报警精度.