共查询到20条相似文献,搜索用时 15 毫秒
1.
恶意加密流量的识别是网络安全管理的一项重要内容。然而,随着网络用户的增加,网络流量的数量和种类正以指数级增加,这给网络安全管理带来了新的挑战和威胁。传统的恶意加密流量识别方法依赖专家经验,且对恶意加密流量特征区分能力不强,不适用目前复杂网络的场景。本文提出了基于多头注意力的恶意加密流量检测方法,通过多头注意力,流量特征可以被映射到多个子空间并进行高阶流量特征的提取,通过一维卷积神经网络进一步提取数据包内部的空间特征。实验结果表明,该方法在CTU数据集上对正常、恶意加密流量的二分类取得了优异的检测效果。 相似文献
2.
为实现互联网全面加密环境下的恶意加密流量精确检测,针对传统识别方法较依赖专家经验且对加密流量特征的区分能力不强等问题,提出一种基于层次时空特征与多头注意力(HST-MHSA)模型的端到端恶意加密流量识别方法.基于流量层次结构,结合长短时记忆网络和TextCNN有效整合加密流量的多尺度局部特征和双层全局特征,并引入多头注意力机制进一步增强关键特征的区分度.在公开数据集CICAndMal2017上的实验结果表明,HST-MHSA模型的流量识别F1值相较基准模型最高提升了16.77个百分点,漏报率比HAST-Ⅱ和HABBiLSTM模型分别降低了3.19和2.18个百分点,说明其对恶意加密流量具有更强的表征和识别能力. 相似文献
3.
为实现互联网全面加密环境下的恶意加密流量精确检测,针对传统识别方法较依赖专家经验且对加密流量特征的区分能力不强等问题,提出一种基于层次时空特征与多头注意力(HST-MHSA)模型的端到端恶意加密流量识别方法.基于流量层次结构,结合长短时记忆网络和TextCNN有效整合加密流量的多尺度局部特征和双层全局特征,并引入多头注意力机制进一步增强关键特征的区分度.在公开数据集CICAndMal2017上的实验结果表明,HST-MHSA模型的流量识别F1值相较基准模型最高提升了16.77个百分点,漏报率比HAST-Ⅱ和HABBiLSTM模型分别降低了3.19和2.18个百分点,说明其对恶意加密流量具有更强的表征和识别能力. 相似文献
4.
不法分子利用洋葱路由器(Tor)匿名通信系统从事暗网犯罪活动,为社会治安带来了严峻挑战。Tor网站流量分析技术通过捕获分析Tor匿名网络流量,及时发现隐匿在互联网上的违法行为进行网络监管。基于此,提出一种基于自注意力机制和时空特征的Tor网站流量分析模型——SA-HST。首先,引入注意力机制为网络流量特征分配不同的权重以突出重要特征;然后,利用并联结构多通道的卷积神经网络(CNN)和长短期记忆(LSTM)网络提取输入数据的时空特征;最后,利用Softmax函数对数据进行分类。SA-HST在封闭世界场景下能取得97.14%的准确率,与基于累积量模型CUMUL和深度学习模型CNN相比,分别提高了8.74个百分点和7.84个百分点;在开放世界场景下,SA-HST的混淆矩阵各项评价指标均稳定在96%以上。实验结果表明,自注意力机制能在轻量级模型结构下实现特征的高效提取,SA-HST通过捕获匿名流量的重要特征和多视野时空特征用于分类,在模型分类准确率、训练效率、鲁棒性等多方面性能均有一定优势。 相似文献
5.
网络异常流量检测是网络安全保护重要组成部分之一。目前,基于深度学习的异常流量检测方法都是将端口号属性与其他流量属性同等对待,忽略了端口号的重要性。为了提高异常流量检测性能,借鉴注意力思想,提出一个卷积神经网络(CNN)结合端口注意力模块(PAM)和通道空间注意力模块(CBAM)的网络异常流量检测模型。首先,将原始网络流量作为PAM的输入,分离得到端口号属性送入全连接层,得到学习后的端口注意力权重值,并与其他流量属性点乘,输出端口注意力后的流量数据;其次,将流量数据转换成灰度图,利用CNN和CBAM更充分地提取特征图在通道和空间上的信息;最后,使用焦点损失函数解决数据不平衡的问题。所提PAM具有参数量少、即插即用和普遍适用的优点。在CICIDS2017数据集上,所提模型的异常流量检测二分类任务准确率为99.18%,多分类任务准确率为99.07%,对只有少数训练样本的类别也有较高的识别率。 相似文献
6.
《微型机与应用》2020,(2):8-12
针对Web攻击流量检测问题,提出一种基于动态自适应池化算法(Dynamic Adaptive Pooling Algorithm,DAPA)的卷积神经网络模型。首先将数据集中每一条请求流量进行剪裁、对齐、补足等操作,生成一系列50×150的矩阵数据A作为输入,然后搭建基于动态自适应的卷积神经网络模型去进行异常流量检测,使之可以根据特征图的不同,动态地调整池化过程,在网络结构中添加Dropout层来解决流量特征提取过程中的过拟合问题。实验表明,该方法比未使用动态自适应池化的方式精确度提升了1. 2%,损失值降低了2. 6%,过拟合问题也得到了解决。 相似文献
7.
8.
为提高僵尸网络的检测精度,解决特征表征单一的问题,提出一种融合挤压和激励模块的多头注意力(SE-MHA)机制实现僵尸网络的准确检测。以会话为单位提取流量的初始特征,引入连接失败熵特征和n-gram序列特征,利用多头注意力(MHA)机制挖掘流量特征间的高维相关性,引入挤压和激励(SE)模块实现自适应调整不同“头”之间的依赖关系,增强MHA机制的表征能力,输入到Softmax分类器中对流量进行分类。通过ISCX-Bot-2014数据集,验证了该方法的精确度和有效性。 相似文献
9.
弱监督视频异常检测由于抗干扰性强、数据标注要求低,成为视频异常事件检测研究的热点。在现有的工作中,大多数弱监督视频异常检测方法认为各个视频段独立同分布,单独判断每个视频段是否异常,忽略了视频段间的时空依赖关系。为此,提出了一种基于时空依赖关系和特征融合的弱监督视频异常检测方法,在保留视频段原始特征的同时,使用视频段之间的索引距离和特征相似程度拟合视频段的时间和空间依赖关系,构建视频段的关系特征。通过融合原始特征和关系特征,更好地表达视频的动态特性和时序关系。在UCF-Crime和ShanghaiTech两个基准数据集上进行了大量实验,实验结果表明所提方法的AUC指标优于其他方法,AUC值分别达到了80.1%和94.6%。 相似文献
10.
陈解元 《信息技术与网络安全》2021,(7):42-46
针对传统机器学习方法依赖人工特征提取,存在检测算法准确率低、无法应对0day漏洞利用等未知类型攻击等问题,提出一种基于卷积神经网络(Convolutional Neural Networks,CNN)和长短期记忆网络(Long-Short Term Memory,LSTM)混合算法的异常流量检测方法,充分发掘攻击流量的... 相似文献
11.
随着城市交通量的增大,安全隐患越来越多,车辆轨迹异常检测对于安全驾驶领域来说也越来越重要。为了更好地提取轨迹的特征,在循环神经网络检测的基础上加入了卷积神经网络,利用卷积加循环的神经网络检测学习轨迹序列信息,并且结合了注意力机制,通过这种技术结合的方法,进一步提高轨迹嵌入的质量。结果表明,该轨迹异常检测方法的性能在各项指标上显著优于其他检测算法,验证了该异常检测方法的有效性和实用性。 相似文献
12.
入侵检测系统(IDS)在发现网络异常和攻击方面发挥着重要作用,但传统IDS误报率较高,不能准确分析和识别异常流量。目前,深度学习技术被广泛应用于网络流量异常检测,但仅仅采用简单的深度神经网络(DNN)模型难以有效提取流量数据中的重要特征。针对上述问题,提出一种基于堆叠卷积注意力的DNN网络流量异常检测模型。通过堆叠多个以残差模块连接的注意力模块增加网络模型深度,同时在注意力模块中引入卷积神经网络、池化层、批归一化层和激活函数层,防止模型过拟合并提升模型性能,最后在DNN模型中得到输出向量。基于NSL-KDD数据集对模型性能进行评估,将数据集预处理生成二进制特征,采用多分类、二分类方式验证网络流量异常检测效果。实验结果表明,该模型性能优于KNN、SVM等机器学习模型和ANN、AlertNet等深度学习模型,其在多分类任务中识别准确率为0.807 6,较对比模型提高0.034 0~0.097 5,在二分类任务中准确率和F1分数为0.860 0和0.863 8,较对比模型提高0.013 0~0.098 8和0.030 6~0.112 8。 相似文献
13.
异常数据检测及异常类型识别有助于提高无线传感器网络的数据质量,基于分类的异常检测算法存在传感器数据分类特征提取困难,无法进一步区分异常数据类型等问题,而基于时空特征的异常检测方法存在过度依赖于数据的假设分布等问题。针对这些问题,提出一种融合数据流时空特征和多分类模型的异常检测算法,算法首先基于Markov链提取传感器数据流的时空特征,然后将时空特征作为多分类卷积神经网络模型的输入特征,对数据流进行异常检测及异常类型识别。结果表明:该算法在不同数据集上均表现出较高的检测准确率以及较低的漏检率和误检率,可以有效地检测无线传感器网络中的异常值并判断异常类型。 相似文献
14.
基于卷积神经网络的工控网络异常流量检测 总被引:1,自引:0,他引:1
针对工控系统中传统的异常流量检测模型在识别异常上准确率不高的问题,提出一种基于卷积神经网络(CNN)的异常流量检测模型。该模型以卷积神经网络算法为核心,主要由1个卷积层、1个全连接层、1个dropout层以及1个输出层构成。首先,将实际采集的网络流量特征数值规约到与灰度图像素值相对应的范围内,生成网络流量灰度图;然后,将生成好的网络流量灰度图输入到设计好的卷积神经网络结构中进行训练和模型调优;最后,将训练好的模型用于工控网络异常流量检测。实验结果表明,所提模型识别精度达到97.88%,且与已有的精度最高反向传播(BP)神经网络测精度提高了5个百分点。 相似文献
15.
物联网终端设备数量的急剧增加带来了诸多安全隐患,如何高效地进行异常流量检测成为物联网安全研究中的一项重要任务。现有检测方法存在计算开销大的问题,且不能显式地捕捉流量数据中的关系和结构,难以应对新型网络攻击。考虑网络结构和节点设备之间的复杂通信模式,提出一种基于图神经网络的分布式异常流量检测方案。结合物联网环境对卷积神经网络进行改进,识别节点之间的复杂关系,同时在物联网设备、转发器和雾节点上设计并部署分布式检测单元,通过分布式检测架构实现本地化的异常流量检测,从而降低检测延迟和时间开销。在此基础上,引入注意力模块强化对关键特征的提取,增强模型的可解释性,进一步提高检测精度。在公开数据集CTU-13上的实验结果表明,该方案准确率和AUC值达到99.93%和0.99,只需9.26 s即可完成检测,且带宽消耗仅为845 kb/s。 相似文献
16.
17.
18.
【目的】现有的网络恶意流量检测方法依赖统计特征进行建模,忽略了网络流量本身所具备的时序特征,通过对时序特征的提取、学习、建模,可以进一步提高网络恶意流量检测精度。【方法】将网络流量以会话为基本单元进行切分,对每个会话截取固定长度的流量字节,以词嵌入的方式为每个字节编码,通过融合多头注意力机制的特征提取算法提取其时序特征,将提取的特征输入分类器从而实现对恶意流量的检测。【结果】实验结果表明,本文提出模型对恶意流量的分类准确率达到99.97%,明显优于通过统计特征建模的恶意流量检测方法,对比LSTM和Bi-LSTM等同类模型也有提升。【结论】融合多头注意力机制的网络恶意流量检测方法能够明显提高现有算法对恶意流量的检测精度,能够有效支撑网络空间安全保卫与防护任务。 相似文献
19.
20.
网络异常流量识别是目前网络安全的重要任务之一。然而传统流量分类模型是依据流量数据训练得到,由于大部分流量数据分布不均导致分类边界模糊,极大限制了模型的分类性能。为解决上述问题,文章提出一种基于深度度量学习的异常流量检测方法。首先,与传统深度度量学习每个类别单一代理的算法不同,文章设计双代理机制,通过目标代理指引更新代理的优化方向,提升模型的训练效率,增强同类别流量数据的聚集能力和不同类别流量数据的分离能力,实现最小化类内距离和最大化类间距离,使数据的分类边界更清晰;然后,搭建基于1D-CNN和Bi-LSTM的神经网络,分别从空间和时间的角度高效提取流量特征。实验结果表明,NSL-KDD流量数据经过模型处理,其类内距离显著减小并且类间距离显著增大,类内距离相比原始类内距离减小了73.5%,类间距离相比原始类间距离增加了52.7%,且将文章搭建的神经网络比广泛使用的深度残差网络训练时间更短、效果更好。将文章所提模型应用在流量分类任务中,在NSL-KDD和CICIDS2017数据集上,相比传统的流量分类算法,其分类效果更好。 相似文献