基于链路同质性的应用层流量分类方法

随着高速网络链路中数据量的剧增,以及越来越多的流行应用使用动态端口或使用加密流量通信,导致传统的网络流量分类方法失效.本文研究了应用层流量中存在的链路同质性,结合统计关联学习方法和流量传播图挖掘方法,提出了一种基于链路同质性的应用层流量分类方法.我们分析数据集中邻接链路之间的统计依赖关系并应用于网络协议识别,而不依赖于数据包载荷与网络流特征.实验结果表明,本文提出的方法能够实现超过80％的流量识别精度.     

基于支持向量数据描述的P2P流量识别

借鉴聚类思想引入基于支持向量数据描述(SVDD)的原理,建立P2P流量识别模型。该模型首先用主成分分析法(PCA)对训练集降维,然后用SVDD方法寻找包含大部分样本最小超球,保留各自支持向量样本点作为识别模型;然后计算测试样本距各球心距离,距离近者为其所属类别。该模型简单,适合P2P流量识别环境,克服了现有基于机器学习的流量识别方法在多类分类中模型复杂、数据不平衡等缺点。实验结果表明,该模型具有较高的分类精度和可靠性。     

加密流量中的恶意流量识别技术

网络流量的加密传输是互联网的发展趋势之一,而加密流量中的恶意流量识别是维护网络空间安全的重要手段.识别恶意流量需要将加密流量进行密/非密、应用程序以及加密算法的细粒度区分以提高识别效率,再将不同精细度区分后的流量经过预处理后转化为图像、矩阵和N-gram等形式导入机器学习训练模型中进行训练,实现良性/恶意流量的二分类以...     

基于Bootstrapping的因特网流量分类方法

针对因特网流量分类面临的流量类别标记瓶颈和类别样本数分布不平衡,提出基于Bootstrapping的流量分类方法,使用少量有标记样本训练初始分类器,迭代利用无标记样本扩展样本集并更新分类器. 在构建扩展样本集过程中,将无标记样本在某后验概率分布下的正确分类行为视为一个概率事件,建立新的置信度计算方法,以减少扩展样本集中的噪声样本;基于概率近似正确学习理论建立启发式规则,注重选择小类样本加入扩展样本集,缓解类别样本数分布的不平衡. 实验结果表明,与初始分类器相比,基于Bootstrapping的流量分类器总体分类准确率可提高9.46%;与现有半监督学习方法相比,小类分类准确率提高2.22%.     

基于流相似性的两阶段P2P僵尸网络检测方法

僵尸网络利用诸如蠕虫、木马以及rootkit等传统恶意程序,进行分布式拒绝服务攻击、发送钓鱼链接、提供恶意服务,已经成为网络安全的主要威胁之一。由于P2P僵尸网络的典型特征是去中心化和分布式,相对于IRC、HTTP等类型的僵尸网络具有更大的检测难度。为了解决这一问题,该文提出了一个具有两阶段的流量分类方法来检测P2P僵尸网络。首先,根据知名端口、DNS查询、流计数和端口判断来过滤网络流量中的非P2P流量;其次基于数据流特征和流相似性来提取会话特征;最后使用基于决策树模型的随机森林算法来检测P2P僵尸网络。使用UNB ISCX僵尸网络数据集对该方法进行验证,实验结果表明,该两阶段检测方法比传统P2P僵尸网络检测方法具有更高的准确率。     

改进的单类支持向量机的网络流量检测

单类支持向量机(OCSVM)理论对有限样本、高维空间和不平衡数据集分类有巨大优势,通过使用权重值模拟退火法与动态惯性因子的粒子群算法改进OCSVM的参数选择算法,进行流量分类,使得分类准确率提高了近10%,解决了传统流量分类方法的低准确率和开销大等弊端,对提高网络服务质量、网络管理与控制以及网络安全等领域具有重要意义。     

基于RIPPER的网络流量分类方法

利用一种规则学习方法中的重复增量式降低错误剪枝方法解决网络流量分类问题。利用该方法能够挖掘出网络流属性特征和类别之间的相关关系,并将挖掘出的关系构成分类器用于网络流量分类。该方法能够解决传统机器学习方法在网络流量中有大量的不平衡数据集时,分类错误率高等问题。实验证明,该方法在网络流量分类标准数据集上具有很高的分类准确率、查全率和查准率。     

机器学习用于网络流量识别

提出了将机器学习中的C4.5算法应用于传输层的网络流量特征识别技术.运用相关性特征选择和遗传算法形成了流量特征子集.提出并采用 N折交叉验证与测试集相结合的方法评估了国家运营宽带网络中的流量测试分类结果.实验证明,无需预知端口和协议标签,网络流量就能被成功地识别与分析.     

未知流量数据的智能特征提取与实时分类识别算法

网络协议和应用的不断变化、网络流量的高速增长,都对流量识别方法提出越来越高的要求。为适应复杂多变的网络环境,提出一种未知流量数据的智能特征提取与实时分类识别算法。该算法通过构建深度学习卷积神经网络实现网络流量特征的自动学习,不仅能够实时识别已知流量,还能进一步对未知流量进行实时分类,并感知新出现的未知流量从而创建新的未知类。通过数据量和特征库的不断积累,达到扩充识别种类(包括已知和未知)、提高系统实时识别能力的目的。实验结果表明,该算法在已知流量和未知流量的实时分类识别上均具有较高的识别准确率。     

典型业务的包长分布规律

网络流量的识别和分类是网络管理、流量工程等应用的重要前提. 该文针对占据主要互联网流量的bitTorrent、HTTP、PPStream、QQ和迅雷5种典型业务进行研究. 对不同时间段采集数据的分析结果表明: 各典型业务的包长分布均有独特的分布规律, 且随时间不同仅存在微小变化. 对数据集按不同比例进行采样分析结果表明: 随样本总数的递减, 各典型业务包长分布形态没有显著改变, 且随着样本总数的递减, 包长分布曲线虽有所变化, 但整体形态和趋势并没有显著改变. 该文对研究互联网各业务流量特点, 分析和掌握网络流量规律等方面具有重要价值.     

一种基于改进深度残差收缩网络的恶意应用检测方法

恶意应用的快速增长给移动智能终端带来了巨大的安全威胁,实现恶意应用高精度检测对移动网络信息安全具有重要意义.本文提出一种基于改进深度残差收缩网络的恶意应用检测方法.首先将流量特征预处理成卷积神经网络输入,接着引入通道注意力机制和空间注意力机制,从通道和空间两个维度对样本特征进行加权.然后再引入深度残差收缩网络,自适应滤除样本冗余特征并通过恒等连接优化参数反向传播,减小模型训练和分类的难度,最终实现安卓恶意应用高精度识别.所提方法可避免手工提取特征,能实现高精度分类并且具有一定泛化能力.实验结果表明,所提方法在恶意应用的2分类、4分类和42分类中准确率分别为99.40％、99.95％和97.33％,与现有方法相比,具有较高的分类性能与泛化能力.     

基于特征选择和时间卷积网络的工业控制系统入侵检测

针对工业控制系统流量数据存在特征冗余及深度学习模型对较小规模数据集检测能力较差的问题,提出了一种基于特征选择和时间卷积网络的工业控制系统入侵检测模型。首先,对源域数据集的异常特征和样本不平衡数据进行处理,提高源域数据集质量。其次,针对流量数据的特征冗余,利用信息增益率和主成分分析法构建IGR-PCA特征选择算法,筛选出最优特征子集实现数据降维。然后,根据工业控制系统流量数据的时间序列特性,在较大规模的源域数据集上,利用时间卷积网络（temporal convolution network,TCN）对时间序列数据优异的处理能力,构建源域时间卷积网络预训练模型。最后,在较小规模的目标域数据集上,结合迁移学习（transfer learning,TL）微调策略,获取源域样本数据的流量特征,构建目标域TCN-TL模型。利用公开的工业控制系统数据集进行实验测试,实验结果表明：流量数据经本文特征算法处理后,相较于其他方法,在降低数据维度减少计算量的同时仍具有良好的检测效果;在较大规模的源域数据集和较小规模的目标域数据集上,本文模型均取得了良好的检测效果,在目标域中利用迁移学习微调策略能够学习到源域中的知识,模型检测准确率为99.06%,在训练时间对比中,本文模型训练时间消耗更少,具有更好的泛化能力,能够更好地保护工业控制系统安全。     

基于DCGAN反馈的深度差分隐私保护方法

为了防止攻击者在深度学习模型应用过程中利用生成式对抗网络(generative adversarial networks,GAN)等技术还原出训练集中的数据,保护训练数据集中用户的敏感信息,提出一个基于深度卷积生成式对抗网络(deep convolutional generative adversarial networks,DCGAN)反馈的深度差分隐私保护方法.该方法在深度网络参数优化计算时结合差分隐私理论添加噪声数据,基于差分隐私与高斯分布可组合特点,计算深度网络每一层的隐私预算,在随机梯度下降(stochastic gradient descent,SGD)计算中添加高斯噪声使之总体隐私预算最小;利用DCGAN生成数据选取可能得到的最优结果,通过对比攻击结果和原始数据之间的差别调节深度差分隐私模型参数,实现训练数据集可用性与隐私保护度的平衡.实验结果表明,该方法针对训练数据集中的敏感信息具有较高的隐私保护能力.     

基于生成对抗网络的太阳能电池缺陷增强方法

为了解决太阳能电池样本不均衡问题,提出负样本引导生成对抗网络的太阳能电池缺陷样本增强方法. 通过在生成对抗模型中引入大量负样本和增加负样本引导损失,促进模型对正样本特征的表达,提升生成样本的多样性;设计自适应的权值约束方法,平衡生成器和判别器的表达能力,提升生成样本的质量. 实验结果表明,在太阳能电池电致发光(EL)缺陷数据集上,提出方法的生成质量和检测精度优于深度卷积生成对抗网络（DCGAN）、梯度惩罚Wasserstein距离生成对抗网络（WGAN-GP）和一阶导数生成对抗网络（FOGAN）;该方法的F测度较DCGAN、WGAN-GP和FOGAN分别最高提升了10%、8%和5%,具有较好的数据增强性能. 在带钢表面缺陷数据集及DAGM 2007公共数据集上,提出方法的性能优于DCGAN、WGAN-GP和FOGAN,具有一定的泛化能力.     

基于机器学习的网页恶意代码检测方法

网络中大量的恶意网页已经成为网络用户的主要安全威胁。本文提出了一种基于机器学习分类器的网页恶意JavaScript代码分析方法。通过对训练样本训练学习,建立分类模型,最后对测试样本检测。实验表明,本方法能够有效的检测出大部分恶意网页JavaScript代码,检测准确率达到88．5％     

恶意PDF检测中的特征工程研究与改进

在基于机器学习的恶意PDF检测中,现有特征容易引起混淆或逃逸。为了提高特征的准确性和鲁棒性,在现有方法的基础上研究和改进特征提取方法,结合内容特征、结构特征以及逻辑树的间接结构特征,通过分析特征重要性进行特征选择,最后应用分类算法实现恶意PDF检测。结构特征包括多个高频次叶子节点数量;内容特征包括元数据特征、字节熵值、流字节比例等特征。收集实验数据集,提取特征并分析,最终选择出58维特征,使用LightGBM算法训练梯度提升决策树模型,测试准确率为99.9%,优于其他方法。另外,模拟攻击部分样本的特征,生成对抗样本,检测准确率同样达到99.2%。     

双层聚类模型在日志数据分析中的应用

提出了一种基于自组织特征映射( SOM)神经网络和模糊c-均值( FCM)的双层聚类方法,对Web日志中的日志数据集进行聚类。第一层是无监督SOM神经网络聚类方法,它所产生的类的个数大大减少了原始数据集的个数,降低了FCM对类初始中心点的依赖;然后利用FCM聚类算法的优势对第一层中产生的类的中心点进行聚类,从而大大减少了聚类的时间复杂度;最后通过平行坐标技术可视化展示聚类前后的日志数据集,方便对日志数据进行分析。     

基于改进的YOLOv5模型和射线法的车辆违停检测

车辆违法停车将会降低道路通行效率,引发交通拥堵和交通事故.传统的车辆违停检测方法参数量大且准确度低.为此,本文提出了一种使用改进的YOLOv5模型和射线法的车辆违停检测方法.首先设计了轻量化的特征提取模块,减少模型参数量;其次在模型中加入注意力机制,从通道维度和空间维度增强模型的特征提取能力,保证模型精度;接着使用混合数据增强丰富数据集样本,提升复杂背景下的检测效果;然后选用EIoU作为损失函数提高模型定位能力.实验结果表明,改进后的模型均值平均精度达到91.35%,比原始YOLOv5s提升1.01个百分点,并且参数量减少35.79%.最后将改进后模型与射线法结合,在Jetson Xavier NX嵌入式平台的检测速度可以达到约28帧/s,能够实现实时检测.