基于僵尸网络流量特征的深度学习检测

僵尸网络作为一种新型攻击方式,如今已成为互联网安全领域面临的重大威胁。随着计算机网络的发展,僵尸网络逐渐从传统的基于IRC协议向基于HTTP协议转变。海量的HTTP数据流使得僵尸网络可以有效的隐藏自身,这给僵尸网络的检测和识别增加了难度。通过分析HTTP网络流量,获取僵尸网络流量特征,提出将深度学习应用于僵尸网络检测的方法。实验结果显示,该方法可以有效地、准确地从HTTP流量中检测僵尸网络。     

基于流量时空特征的fast-flux僵尸网络检测方法

僵尸网络已成为网络空间安全的主要威胁之一,虽然目前可通过逆向工程等技术来对其进行检测,但是使用了诸如fast-flux等隐蔽技术的僵尸网络可以绕过现有的安全检测并继续存活。现有的fast-flux僵尸网络检测方法主要分为主动和被动两种,前者会造成较大的网络负载,后者存在特征值提取繁琐的问题。因此为了有效检测fast-flux僵尸网络并解决传统检测方法中存在的问题,该文结合卷积神经网络和循环神经网络,提出了基于流量时空特征的fast-flux僵尸网络检测方法。结合CTU-13和ISOT公开数据集的实验结果表明,该文所提检测方法和其他方法相比,准确率提升至98.3%,召回率提升至96.7%,精确度提升至97.5%。

     

基于时空特征的恶意加密流量检测

加密技术保护了用户的隐私,但也使得恶意攻击可以隐藏一定的攻击特征,增加了检测难度。针对传统的检测方法存在的对于加密字段无法进行有效检测和过于依赖专家经验难以建立对应特征库等缺点,提出了一种不依赖专家经验、自动提取数据的时空特征的恶意加密流量检测方法 CNN-MHGRU。基于网络流量的数据结构,结合卷积神经网络（Convolutional Neural Networks,CNN）和门控循环单元（Gate Recurrent Unit,GRU）的时空特征提取能力,并加入多头注意力机制,使得GRU能够更好地处理长序列数据之间的联系。在公开数据集上进行二分类和多分类实验,CNN-MHGRU模型的准确率分别达到99.92%和92.98%,在对未知恶意加密流量二分类检测实验中准确率达到了99.89%,在整体上均优于实验对比模型。     

如何使用僵尸网络

获取僵尸网络并使之运行仅仅是第一步。僵尸网络可以作为一个实施各种犯罪活动的平台,这取决于僵尸牧人如何选择去配置单个的节点。除了身份窃取,僵尸网络还有很多用途,其中一些在下面的小节中描述。垃圾邮件当今被发送的大多数垃圾邮件都源自僵尸网络,它使用多种不同的技术来使得不想要的邮件通过收件人垃圾邮件过滤     

基于深度学习的加密网络流量识别方法研究

随着网络技术的快速发展以及TLS、SSL、SSH等加密技术在网络中的广泛使用,网络加密流量快速增长,加密俨然已经成为保护隐私的重要手段之一.但是,经过加密的流量在无意间也给网络安全带来了新的隐患.加密网络流量的分析识别可以有效防范恶意流量,对保证网络信息安全和维护网络正常运行具有重要实际意义.提出了一种基于深度学习的加...     

僵尸网络检测研究

僵尸网络是一种严重威胁网络安全的攻击平台。文章先给出僵尸网络的定义,然后分析其工作机制,命令与控制机制。针对当前主流的僵尸网络检测方法,按照不同的行为特征进行分类,根据僵尸网络的静态特征、动态特征以及混合特征,对当前的主要检测方法进行了归纳、分析和总结。并在文章最后提出,建立一个完备的僵尸网络检测模型需要将僵尸网络的动态特征检测模型与静态特征检测模型相互结合,而这才是僵尸网络检测模型未来发展的重点。     

僵尸网络检测方法研究

僵尸网络是指由黑客通过多种传播手段入侵并控制的主机组成的网络.僵尸网络是各种恶意软件传播和控制的主要来源,检测僵尸网络对于网络安全非常重要.本文首先介绍了僵尸网络的结构,着重对僵尸网络的命令与控制信道进行了讨论,接着详细介绍了基于主机信息的、基于流量监测的和基于对等网络的僵尸网络检测方法,并进行了比较和讨论.     

基于时间序列分析的网络流量异常检测

为了准确检测出网络流量的异常现象,保证网络的正常工作,提出基于时间序列分析的网络流量异常检测模型。根据网络流量数据间的相似性,采用小波分析对网络流量进行分解,划分为更小尺度的分量,然后采用时间序列分析法——灰色模型和马尔可夫模型分别对高频分量和低频分量进行网络流量异常检测,并采用小波分析对它们的检测结果进行融合,最后采用网络流量异常仿真实验进行分析。结果表明,时间序列分析模型的工作过程简单,提高了网络流量异常检测率,误检率要低于其他网络流量异常检测模型,获得更优的网络流量异常检测实时性。     

网络流量与入侵检测研究

文章先介绍了入侵检测技术在国内外的发展和现状,进而针对目前入侵检测技术报警信息量大、响应速度慢的缺点,提出了一种新的网络流量分析应用于入侵检测的方法.利用ARIMA模型对网络的流量进行预测,通过实验结果表明对短期流量预测能够达到比较好的效果;这样在用ARIMA模型可以预测出异常网络流量的前提下,可以快速使用本文提到的入侵检测模型检测到已知和未知入侵并预警,预期该方法可以有效提高网络预警的速度.     

使用MRTG监控并统计网络流量

MRTG(Multi Router Traffic Grapher)是一个监控网络链路流量的工具软件,它通过SNMP协议从设备得到设备的流量信息,并将流量负载情况以HTML文档方式显示给用户。该软件可以实现远程统计监控网络流量,是网络管理的非常有效地辅助管理工具。本文详细介绍了MRTG服务器的工作原理和安装配置方法,以及在实践中的应用。     

一种针对加密流量中邮箱异常通信行为的检测技术

随着网络安全防范意识增强,加密技术在网络空间中迅速普及,这一切正在改变网络安全形势,而如何检测和监管加密流量中的电子邮件的异常通信行为成为挑战.先对网络加密流量分析的基本概念、研究进展进行了论述,然后提出了一种基于网络行为的加密流量邮件攻击行为分析系统.该系统通过提取流量中相关特征信息,实现邮件行为的识别和异常行为的判...     

一种加密流量行为分析系统的设计研究

随着互联网安全形势的日益严峻,采用流量加密方式进行业务传输的比重越来越大,针对加密流量的监管成为挑战。面对加密流量难以监管的难题,提出了一种加密流量行为分析系统。系统基于加密业务的流量特征,采用机器学习算法,无需解密网络流量就能对流量进行行为分析,实现了加密流量的识别和分类,并对系统进行了试验测试。测试结果显示,该系统可以发现隐藏在加密流量中的攻击行为、恶意行为和非法加密行为,对于安全人员掌握网络安全态势、发现网络异常具有重要意义。     

基于深度学习的僵尸网络检测技术研究

入侵检测系统通过分析网络流量来学习正常和异常行为,并能够检测到未知的攻击。一个入侵检测系统的性能高度依赖于特征的设计,而针对不同入侵的特征设计则是一个很复杂的问题。因此,提出了一种基于深度学习检测僵尸网络的系统。该系统利用卷积神经网络(Convolutional Neural Network,CNN)和长短期记忆网络(Long Short-Term Memory,LSTM)分别学习网络流量的空间特征和时序特征,而特征学习的整个过程由深度神经网络自动完成,不依赖于人工设计特征。实验结果表明,该系统在僵尸网络检测方面具有良好的表现。     

基于异常行为特征的僵尸网络检测方法研究

基于僵尸网络通信及网络流量的异常行为,可以有效检测出僵尸频道。介绍了通过对主机响应信息的异常分析,进而判断出当前IRC频道是否为一个僵尸频道的检测算法。由此引入了基于异常行为的僵尸频道检测模型,该模型分类提取IRC频道的主机响应信息,结合检测算法分析得出结论。实验结果验证了该模型的有效性。     

基于决策树的僵尸流量检测方法研究

僵尸网络目前是互联网面临的安全威胁之一,检测网络中潜在的僵尸网络流量对提高互联网安全性具有重要意义。论文重点研究了基于IRC协议的僵尸网络,以僵尸主机与聊天服务器之间的会话特征为基础,提出了一种基于决策树的僵尸网络流量检测方法。实验证明该方法是可行的。     

三维移动-移动场景非平稳MIMO信道空时相关性

提出一种三维移动-移动场景的非平稳多输入多输出(multi-input multi-output, MIMO)信道模型,该模型改进了不同信道状态之间衰落相位的连续性,可保证输出多普勒频移的正确性。同时,针对该新模型研究了非平稳衰落特性引起的时变空时相关性,并针对收发端信号角度谱服从通用Von Mises Fisher(VMF)分布情况,详细推导了归一化空域互相关函数和时域自相关函数的表达式。最后,针对低速和高速移动两种场景的仿真结果表明,获得的理论结果与数值仿真具有很好的拟合度, 但能极大地减低计算复杂性,进而有效提高了分析和仿真复杂动态场景下MIMO 通信系统的效率。     

僵尸网络研究

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击,僵尸网络对因特网安全已造成严重威胁。深入研究分析了僵尸网络的三种模型,并对僵尸网络的发现、追踪进行了探讨。     

卫星导航系统监测站加密流量检测方案

卫星导航系统监测站主要负责卫星定位跟踪、采集、记录和将数据传输到数据中心。为了保障数据的有效性和安全性,必须对数据进行加密后才能传输。面对越来越复杂的网络环境,如何精确,高效,实时地识别出网络加密流量,从而进一步检测出卫星导航加密数据,成为了一个具有挑战性的问题。本文针对加密协议未知,以及网络负载未知的网络加密流量,首先通过分析数据包首部信息,提取出了一组特征属性集——PBF特征集,用于机器学习模型的构建,然后提出了一种以AdaBoost-C4.5算法作为分类器的网络加密流量检测模型,最后通过机器学习方法自动检测加密流量。通过实验验证,该模型在准确率和稳定性上有较好的表现。     

僵尸网络技术发展新趋势分析

近年来,僵尸网络不断发展,已经成为一项能够带来高额利益的地下黑色产业.本文提出僵尸网络控制者面临的主要挑战,以及其未来可能采取的应对这些挑战的方法.本文介绍了一些可能用来提高僵尸网络能力的方法,包括利用层次化的和可扩展的方式来构建僵尸程序、利用Metasploit等来快速构建攻击方法、利用Gnutella和Skype等系统构建P2P网络、利用数字签名进行认证等方法等,隐蔽的通信频道研究可用使僵尸网络更加可靠、易扩展,使僵尸网络更加难以被清除.