基于人工蜂群算法的Tor流量在线识别方法

Tor等匿名流量的分类与识别对运营商监管网络安全具有重要意义,但目前Tor流量的分类检测技术普遍存在识别准确率低、缺乏实时性、无法有效处理高维数据等问题。为此,提出一种Tor流量在线识别方法。通过搭建基于逻辑回归的深度神经网络,提取Tor流量特征匹配度以实现特征增强,并使用人工蜂群机制代替梯度下降等常见迭代算法,得到流量分类及识别结果。在此基础上,构建一套实时流量检测工具应用于实际生产环境中。在公开Tor数据集上的实验结果表明,与逻辑回归、随机森林、KNN算法相比,该算法的精确率和召回率分别提高了10%~50%,相比梯度下降的迭代算法准确率提高了7%~8%。     

基于自注意力机制和时空特征的Tor网站流量分析模型

不法分子利用洋葱路由器（Tor）匿名通信系统从事暗网犯罪活动,为社会治安带来了严峻挑战。Tor网站流量分析技术通过捕获分析Tor匿名网络流量,及时发现隐匿在互联网上的违法行为进行网络监管。基于此,提出一种基于自注意力机制和时空特征的Tor网站流量分析模型——SA-HST。首先,引入注意力机制为网络流量特征分配不同的权重以突出重要特征;然后,利用并联结构多通道的卷积神经网络（CNN）和长短期记忆（LSTM）网络提取输入数据的时空特征;最后,利用Softmax函数对数据进行分类。SA-HST在封闭世界场景下能取得97.14%的准确率,与基于累积量模型CUMUL和深度学习模型CNN相比,分别提高了8.74个百分点和7.84个百分点;在开放世界场景下,SA-HST的混淆矩阵各项评价指标均稳定在96%以上。实验结果表明,自注意力机制能在轻量级模型结构下实现特征的高效提取,SA-HST通过捕获匿名流量的重要特征和多视野时空特征用于分类,在模型分类准确率、训练效率、鲁棒性等多方面性能均有一定优势。     

基于深度森林的网络匿名流量检测方法研究与应用

网络流量分类一直是许多研究工作的关注领域,数据加密的普遍使用使其成为一个公开的技术挑战。数据加密是各种隐私增强工具中使用的一项关键技术。其中,基于匿名通信系统Tor构建的暗网是现今规模最大的匿名通信实体,常被犯罪分子用来从事各类违法犯罪活动,因此高效识别Tor流量具有重要研究意义。文章根据Tor匿名通信流量特点设计了一组用于Tor流量行为检测的网络流特征,并在原有深度森林模型的内存需求和时间开销局限性问题上,提出一种改进的深度森林模型,用于Tor网络流量的识别。实验结果表明,与已有识别方法相比,文章提出的模型准确率可达99.86%,同时,检测时间开销和内存需求都有所优化。     

基于一维卷积神经网络的HTTP慢速DoS攻击检测方法

为解决HTTP慢速拒绝服务（SHDoS）攻击流量检测在攻击频率变化时出现的准确率降低的问题，提出一种基于一维卷积神经网络（CNN）的SHDoS攻击流量检测方法。首先，该方法在多种攻击频率下对三种类型的SHDoS攻击流量进行报文采样和数据流提取；之后，设计了一种数据流转换算法，将采集的攻击数据流转换为一维序列并进行去重；最后，使用一维CNN构建分类模型，该模型通过卷积核来提取序列片段，并从片段中学习攻击样本的局部模式，从而使模型对多种攻击频率的数据流都具备检测能力。实验结果显示，与基于循环神经网络（RNN）、长短期记忆（LSTM）网络及双向长短期记忆（Bi-LSTM）网络构建的分类模型相比，该模型对未知攻击频率的样本同样具有较好的检测能力，在验证集上的检测准确率和精确率分别达到了96.76%和94.13%。结果表明所提方法能够满足对不同攻击频率的SHDoS流量进行检测的需求。     

基于一维残差卷积神经网络的Tor匿名网络流量识别模型设计

针对现有匿名网络流量识别模型准确率低的问题,提出了一种基于一维残差卷积神经网络的Tor匿名网络流量识别模型。该模型根据网络流量各特征之间相互独立,无内在关联的特性,采用一维卷积进行特征提取,并采用最大池化筛选、保留关键特征,通过引入跳跃连接解决深层网络存在的退化问题,降低训练时梯度消失的风险,使得模型可进一步加深,提高识别准确率。实验结果表明,该模型优于常用的SVM、KNN、ResNet等对比模型,将Tor匿名网络流量识别准确率提高至98.87%,具体匿名应用类型识别准确率提高至96.14%。     

基于图像纹理的网站指纹技术

网站指纹技术能够让本地监听者通过审查用户与Tor入口节点之间的匿名流量从而追踪到该用户访问的具体网站。现有的研究方法只提取了匿名流量中的部分元数据来进行网站指纹的刻画，忽视了大量隐含的指纹信息。为此，提出了基于图像纹理和深度卷积神经网络的网站指纹技术Image-FP。首先，将匿名通信流量映射成RGB彩色图；然后，使用残差神经网络(ResNet)构造出能进行自主特征学习的网站指纹分类模型。在50个网站构成的封闭世界场景下，Image-FP能够取得97.2%的分类准确率，相较于最前沿的网站指纹攻击技术提高了0.4个百分点。而在更接近真实环境的开放世界场景中，Image-FP能够以100%的准确率识别出监控网站的流量，其准确性和鲁棒性更是远远高于其他指纹技术。实验结果表明，匿名流量图像化的技术能够更多地保留网站指纹的相关特征，并且在避免复杂特征工程的同时，能够进一步提高分类精度。     

基于随机森林算法的无线传感网络攻击流量阻断模型构建

针对无线传感网络攻击流量阻断存在攻击流量检测准确率较低、阻断效果较差的问题,构建了一种基于随机森林算法的无线传感网络攻击流量阻断模型。基于字符（单词）的词频矩阵,利用TF-IDF算法将有效载荷的特征自动提取出来;根据特征结果使用随机森林算法通过词频矩阵对网络流量实行分类,基于分类结果对网络中的流量攻击实现溯源,完成异常无线传感网络检测;利用流表的报文过滤实现无线传感攻击流量的阻断。实验结果表明,该模型在检测攻击流量时,准确率最高可达100%,调和平均数最高为99.18%,错误率最高仅为7.3%,假阳性率最高仅为5.5%,同时能够有效阻断网络攻击流量,在较短时间内将网络恢复至正常,具有良好的攻击流量检测效果和攻击流量阻断效果。     

基于长短期记忆网络的工控网络异常流量检测

针对目前工控网络异常流量检测方法存在识别准确率不高和识别效率低的问题,结合工控网络具有周期性的特点,提出一种基于长短期记忆网络（LSTM）的时序预测的异常流量检测模型.该模型以LSTM网络模型为核心,用前15分钟的正常历史流量序列预测下一时刻的流量数据,在测试集上准确率为98.12%的前提下,可以认为模型的预测值即为正常值,通过对比实际值和预测值来判断是否出现异常.在不降低识别准确率的前提下,由于提前计算出了预测值,该方法大幅度提高了检测效率.     

基于多层双向SRU与注意力模型的加密流量分类方法

基于传统循环神经网络的加密流量分类方法普遍存在并行性较差、模型运行效率较低等问题。为实现加密流量的快速准确分类,提出一种基于多层双向简单循环单元（SRU）与注意力（MLBSRU-A）模型的加密流量分类方法。将特征学习和分类统一到一个端到端模型中,利用SRU模型高度并行化的序列建模能力来提高整体运行效率。为了提升MLBSRU-A模型的分类精度,堆叠多层双向SRU网络使其自动地从原始流量中提取特征,并引入注意力机制为特征赋予不同的权重,从而提高重要特征之间的区分度。实验结果表明,在公开数据集ISCX VPN-nonVPN上,MLBSRU-A模型具有较高的分类精度和运行效率,与BGRUA模型相比,MLBSRU-A的细粒度分类准确率提高4.34%,训练时间减少55.38%,在USTC-TFC 2016数据集上,MLBSRU-A模型对未知加密恶意流量的检测准确率达到99.50%,细粒度分类准确率为98.84%,其兼具对未知加密恶意流量的高精度检测能力以及对加密恶意流量的细粒度分类能力。     

基于集成聚类的流量分类架构

流量分类是优化网络服务质量的基础与关键.机器学习算法利用数据流统计特征分类流量,对于识别加密私有协议流量具有重要意义.然而,特征偏置和类别不平衡是基于机器学习的流量分类研究所面临的两大挑战.特征偏置是指一些数据流统计特征在提高部分应用识别准确率的同时也降低了另外一部分应用识别的准确率.类别不平衡是指机器学习流量分类器对样本数较少的应用识别的准确率较低.为解决上述问题,提出了基于集成聚类的流量分类架构（traffic classification framework based on ensemble clustering,简称TCFEC）.TCFEC由多个基于不同特征子空间聚类的基分类器和一个最优决策部件构成,能够提高流量分类的准确率.具体而言,与传统的机器学习流量分类器相比,TCFEC的平均流准确率最高提升5%,字节准确率最高提升6%.     

一种基于图像特征的移动流量分类方法

随着移动设备的快速发展和应用激增,其产生的移动流量也迅猛增加且众多操作系统皆存在着巨大的安全风险,能够从巨大的网络流量中有效地区分出来自移动端的流量并识别其操作系统对后续的移动安全的分析有着重大的安全意义。基于传统特征的流量分析技术存在着因过分依赖特征选择而导致无法稳定有效地分类移动流量的问题,提出了一种基于图像特征的移动流量分类方法。该方法将流量样本进行可视化转换成灰度图像,从而提取其图像的GLCM特征进行分类。实验结果表明,该方法较传统方法精确率最高提升22.4%,有效地解决了传统方法的特征选择以及没有良好的扩展性等问题。此外,研究了流量研究粒度（flow到stream）、分类粒度（二分类到多分类）和数据集的均衡性（均衡与不均衡）对移动流量检测方法的影响,结果表明分类粒度对分类准确率的影响影响极小,准确率最大降低2.6%。该实验结果进一步说明了提出方法的扩展性,能够有效地用于后续的移动流量的安全研究。     

基于一维卷积神经网络的HTTP慢速DoS攻击检测方法

为解决HTTP慢速拒绝服务（SHDoS）攻击流量检测在攻击频率变化时出现的准确率降低的问题,提出一种基于一维卷积神经网络（CNN）的SHDoS攻击流量检测方法。首先,该方法在多种攻击频率下对三种类型的SHDoS攻击流量进行报文采样和数据流提取;之后,设计了一种数据流转换算法,将采集的攻击数据流转换为一维序列并进行去重;最后,使用一维CNN构建分类模型,该模型通过卷积核来提取序列片段,并从片段中学习攻击样本的局部模式,从而使模型对多种攻击频率的数据流都具备检测能力。实验结果显示,与基于循环神经网络（RNN）、长短期记忆（LSTM）网络及双向长短期记忆（Bi-LSTM）网络构建的分类模型相比,该模型对未知攻击频率的样本同样具有较好的检测能力,在验证集上的检测准确率和精确率分别达到了96.76%和94.13%。结果表明所提方法能够满足对不同攻击频率的SHDoS流量进行检测的需求。     

基于混合方法的IPSec VPN加密流量识别

文中提出了一种混合方法,将指纹识别与机器学习方法相结合,实现了IPSec VPN加密流量的识别。该方法首先基于负载特征从网络流量中筛选出IPSec VPN流量;接着,基于时间相关的流特征,利用随机森林算法建立了IPSec VPN流量分类模型,通过参数优化以及特征选择,整体流量识别的准确率达到了93%。实验结果验证了通过流特征提取的机器学习方法识别IPSec VPN流量的可行性;同时表明了该方法能够有效均衡识别精度与识别速度,达到了高效识别IPSec VPN加密流量的效果。     

基于多分类器的无分割手写数字字符串识别算法

手写体数字字符串识别常用于邮件自动分拣、银行票据和财务报表的录入中,针对其分割识别算法复杂度较高、准确率较低的问题,提出一种多分类器下无分割手写数字字符串识别算法。该算法的核心是采用四个分类器实现粘连字符串的无分割识别;将残差结构应用于LeNet-5网络,以增加网络深度,提高识别准确率,加快收敛速度;使用动态选择策略,以避免长度分类器误分类对识别结果的影响。实验结果表明,在NIST SD19一位数字和Synthetic数据集训练网络下,使用NIST SD19上长度为2、3、4、5、6的字符串验证网络,其识别准确率分别为99.3%、98.5%、98.1%、96.6%和97.2%。     

一种人名识别方法的研究

针对汉语人名识别的难点,基于最大熵算法提出了结合多知识、多模型的识别方法,充分考虑了人名的内部特征（小颗粒特征）和人名的语境信息。论文的主要贡献是：将概率信息赋予最大熵模型,极大提高人名的准确率和召回率;细化了分类模型,将人名识别分成中国人名识别、外国译名识别和单字人名识别;提出动态优先级方法来防止一个外国译名被部分识别为一个或几个中国人名。实验测试数据为1998年1月的人民日报和Sighan（2006）命名实体测试语料。测试结果表明,人民日报（1998-01）的召回率为90.06%,准确率为89.27%;Sighan（MSRA）语料的召回率为95.39%,准确率为96.71%;Sighan（LDC）语料的召回率为87.56%,准确率为91.04%。实验结果证明,提出的人名识别方法是非常有效的。     

井下人员人脸识别方法研究

针对光照突变、视角变化以及遮挡等因素容易导致井下人员人脸识别精确度低的问题,提出了一种隐马尔科夫模型下基于SIFT特征的人脸识别方法。该方法将提取的SIFT特征作为隐马尔科夫模型的训练样本,经训练建立精准匹配库,对人脸部位和非人脸部位的SIFT特征进行分类,从而实现人脸图像的识别。实验结果表明,该方法识别速度快、准确率高,平均识别准确率达97.14%。     

基于深度置信网络的高分辨率雷达距离像识别

为提高雷达目标识别准确率,提出了一种基于深度置信网络（DBN）的高分辨率雷达距离像（HRRP）识别方法。首先利用受限玻尔兹曼机（RBM）对HRRP数据进行逐层无监督训练,根据对比散度（CD）算法更新网络参数,通过误差重构设计DBN深度;而后利用反向传播（BP）机制对DBN模型参数进行有监督的微调;最后基于该模型实现了HRRP的分类与识别。实验结果表明,与传统神经网络相比,基于深度置信网络的识别准确率及噪声鲁棒性显著提高,识别准确率可提高8.5%。     

基于特征聚合的铜合金金相图分类识别方法

针对铜合金成分检测过程中产生的时滞问题，提出一种基于特征聚合的铜合金金相图分类识别方法。首先，在特征提取阶段，构建灰度共生矩阵（GLCM）和基于卷积注意力模块的残差网络（ResNet）模型分别提取图像的全局与局部特征；其次，在特征聚合阶段，将提取到的特征规范化后进行简单的级联；最后，在分类识别阶段，使用支持向量机（SVM）精确分类。实验结果表明，所提方法的准确率达到了98.963%、宏F1达到了98.996%，优于基于单特征的机器学习方法。可见，不同的方法提取的特征经过聚合后可以更全面地描述铜合金金相图的纹理及边缘信息，所提方法可以通过金相图识别不同铜合金，提升了识别的准确率，且具有良好的鲁棒性。     

基于卷积神经网络的工控网络异常流量检测

针对工控系统中传统的异常流量检测模型在识别异常上准确率不高的问题，提出一种基于卷积神经网络（CNN）的异常流量检测模型。该模型以卷积神经网络算法为核心，主要由1个卷积层、1个全连接层、1个dropout层以及1个输出层构成。首先，将实际采集的网络流量特征数值规约到与灰度图像素值相对应的范围内，生成网络流量灰度图；然后，将生成好的网络流量灰度图输入到设计好的卷积神经网络结构中进行训练和模型调优；最后，将训练好的模型用于工控网络异常流量检测。实验结果表明，所提模型识别精度达到97.88%，且与已有的精度最高反向传播（BP）神经网络测精度提高了5个百分点。     

聊天机器人中用户就医意图识别方法

传统的聊天机器人中用户意图识别一般采用基于模板匹配或人工特征集合等方法,针对其费时费力而且扩展性不强的问题,并结合医疗领域聊天文本的特点,提出了基于短文本主题模型（BTM）和双向门控循环单元（BiGRU）的意图识别模型。该混合模型将用户就医意图识别看作分类问题,使用主题特征,首先通过BTM对用户聊天文本逐句进行主题挖掘并量化,然后送入BiGRU进行完整上下文学习得到连续语句最终表示,最后通过分类完成用户就医意图识别。对爬取的语料进行实验,BTM-BiGRU方法明显优于传统的支持向量机（SVM）等方法,其F值更是高出目前较好的卷积长短期记忆组合神经网络（CNN-LSTM）近1.5个百分点。实验结果表明,在本任务上该混合模型重点考虑研究对象的特点,能有效提高意图识别的准确率。