基于shell命令的内部攻击检测

信息系统不仅面临着外部攻击的威胁,同时也面临着来自系统内部的威胁。本文针对系统内部攻击,首先对信息系统的内部威胁和内部攻击进行简要阐述和分析。基于用户操作行为的一般规律,提出几种检测模型,通过对比检测结果找出检测效果好的检测模型。基于SEA公开数据集,采用词袋、TF-IDF、词汇表以及N-Gram几种方法进行特征提取,使用不同的机器学习算法建立检测模型,包括XGBoost算法、隐式马尔可夫和多层感知机(MLP)。结果显示：测试样本采用词袋+N-Gram特征模型和XGBoost学习算法的精确率和召回率较高,检测效果最好。     

基于N-Gram静态分析技术的恶意软件分类研究

为了解决恶意软件分类准确率不高的问题,提出了一种基于N-Gram静态分析技术的恶意软件分类方法。首先,通过N-Gram方法在恶意软件样本中提取长度为2的字节序列;其次,根据提取的特征利用KNN、逻辑回归、随机森林、XGBoost训练基于机器学习的恶意软件分类模型;然后,使用混淆矩阵和对数损失函数对恶意软件分类模型进行评价;最后,将恶意软件分类模型在Kaggle恶意软件数据集中进行训练和测试。实验结果表明,XGBoost和随机森林的恶意软件分类模型准确率分别达到了98.43%和97.93%,Log Loss值分别为0.022 240和0.026 946。与已有方法相比,通过N-Gram进行特征提取的方法可以更准确地对恶意软件进行分类,保护计算机系统免受恶意软件的攻击。     

基于人工蜂群算法和XGBoost的网络入侵检测方法研究

为了降低网络入侵检测系统的虚警率,提出一种混合式网络入侵检测方法,将人工蜂群(ABC)算法用于特征提取,XGBoost算法用于特征分类和评价。选择和定义不同的场景和攻击类型,并设计混合式网络拓扑;对预处理后的数据,采用ABC算法进行特征提取,利用XGBoost算法将需要评价的特征进行分类;得到特征的最优子集,利用这些特征完成网络异常检测。在多个公开数据集上的实验结果表明,该混合方法在准确度和检测率方面优于其他方法,且其时间复杂度和空间复杂度较低,表现出较高的检测效率。     

基于深度加权特征学习的网络安全态势评估

计算机网络高速发展的同时也带来了许多的安全问题,对网络安全进行有效的网络安全态势评估对于掌握网络整体的状态并帮助管理人员全面掌握整体态势具有重要意义。然而,现有的网络安全态势评估方法存在特征要素提取困难、准确率低、时效性差的问题。针对这些问题,提出一种面向网络威胁检测的基于深度加权特征学习的网络安全态势评估方法。首先,考虑到单个稀疏自动编码器进行特征提取时无法很好的拟合不同攻击的分布,从而影响威胁检测准确率的缺点,构建一个基于并行稀疏自动编码器的特征提取器提取网络流量中的关键信息,并将其与数据原始特征进行融合。其次,为了更多的关注网络流量中的关键信息,采用注意力机制改进双向门控循环单元网络,对网络中的威胁进行检测并统计每种攻击类型的发生次数以及误报消减矩阵。然后,根据误报消减矩阵修正每种攻击类型的发生次数,并结合威胁严重因子计算得到威胁严重度。最后,根据威胁严重度和每种攻击类型的威胁影响度确定网络安全态势值以获取网络安全态势。本文选取NSL-KDD数据集进行实验验证,实验结果显示本文方法在测试集上达到了82.13%的最高准确率,召回率、F1值分别达到了83.36%、82.74%。此外,通过消融实验进一步验证了所提出的并行稀疏自动编码器提取特征和注意力机制加权特征两种改进方法的有效性。与经典态势评估方法SVM、LSTM、BiGRU、AEDNN等的对比实验也证明,该方法能够高效、全面地评估网络安全的整体态势。     

基于改进词袋模型的相似关键帧匹配方法

对相似关键帧匹配中存在的低效率及无法很好反映语义特征的问题进行了分析,提出了基于词袋模型的关键帧描述方法,并进一步考虑了视觉词汇表的生成、降维以及词项权重赋予等关键问题,最后利用词袋特征对相似关键帧进行匹配。实验结果表明,提出的基于改进词袋模型的相似关键帧匹配方法不仅能在一定程度上提高匹配准确率,并且能够较大幅度地提高相似关键帧匹配的速度。     

基于朴素贝叶斯理论的内部威胁检测方法

相比信息系统外部威胁攻击,信息系统内部威胁攻击更具隐蔽性,更难被发现并进行阻断。本文介绍内部威胁的概念及内部威胁常见的3个特征。针对用户命令操作行为具有普遍规律性,利用公开的安全数据集S-M数据集,提出一种基于朴素贝叶斯理论的内部威胁检测方法。该方法能够将混入用户中带有攻击操作行为命令的内部威胁检测出来,大大提高了内部威胁检测正确率,降低了误报率,使机器学习思想在内部威胁检测领域得到了广泛的应用。      

基于多维度特征分析的KPI异常检测

为帮助运维人员提前发现未知风险,减少因异常风险带来的损失,提出多种特征融合的异常检测方法.对关键性能指标(KPI)进行多维度的特征提取,使用主成分分析方法(PCA)进行降维,对降维后的数据按照时序模式,使用小波分解提取出高频特征与低频特征,使用极限梯度提升(XGBoost)模型进行异常检测.实验结果表明,该方法有较好的普适性、查全率和准确度较高,受试者工作特征(ROC)曲线也普遍优于其它模型.     

机器学习在工业网络入侵检测中的研究应用

在工业化和信息化两化深度融合的背景下,工业控制网络面临着高强度、持续性的恶意渗透和网络攻击,对国家安全和工业生产构成了巨大威胁.检测工业控制网络遭受恶意攻击,高效区分正常数据和攻击数据的研究已成为热点问题.以密西西比州立大学SCADA实验室的能源系统攻击数据集作为工业控制网络入侵检测的主要研究对象,对比不同机器学习算法的准确率、漏警率、虚警率等重要指标,得出综合性能最优的XGBoost算法.为进一步提高入侵检测效率,提出了一种针对XGBoost算法的包裹式特征选择方法,在简化数据集的同时突出不同特征在入侵检测中的重要性.研究结果表明,结合包裹式特征选择的XGBoost算法能有效解决入侵检测问题并提高入侵检测效率,验证了此方法的有效性和科学性.     

基于DBN-XGBDT的入侵检测模型研究

在分布均匀的海量数据情况下,现有的入侵检测模型均具备良好的检测性能。但网络中产生的海量入侵数据的分布通常具有不均衡特点,而大多数检测模型针对罕见攻击类型的检测率低。针对上述问题,提出了一种深度信念网络（Deep Belief Networks,DBN）融合极限梯度提升（eXtreme Gradient Boosting,XGBoost）基于决策树算法（Decision Tree,DT）的入侵检测模型（DBN-XGBDT）。该模型将预处理后的数据集输入深度信念网络中,实现对入侵检测数据的降维处理,将得到的特征数据根据攻击类别任两类为一组,通过XGBoost算法逐一构建梯度提升树并细化为二分类;最后运用控制变量法和XGBoost内置的交叉验证进行调参,择优调整模型参数,对未知网络攻击实现有效检测。基于NSL-KDD数据集对DBN-XGBDT模型与XGBoost、DBN-BP、DBN-MSVM等优越模型进行了检测实验。实验结果表明,DBN-XGBDT模型较上述3个单一、混合分类模型的正确率分别提升2.07个百分点、1.14个百分点,对U2R的检测率提升至75.37%,平均误报率降至56.23%,为入侵检测处理不均衡数据且提高对罕见攻击的检测性能提供了新方法。     

基于元学习的多头注意力时序卷积的入侵检测

为解决现有入侵检测方法在高阶依赖关系挖掘,处理时序特征和应对新型攻击手段检测等方面性能不足的问题,提出了一种基于元学习的多头注意力时序卷积的入侵检测方法。该方法引入了多头注意力机制,使模型能在不同尺度上捕捉网络数据的时序特征和高阶依赖关系。其次,结合多任务学习改进元学习算法对网络未知攻击进行识别,提升网络未知攻击的检测性能,此外,设计了一种自适应特征提取策略,动态调整特征提取粒度,以适应不同类型的网络攻击。在公开数据集实验对比表明,本文算法与主流算法相比,具有更高的准确率和F值。     

基于N-Gram的计算机病毒特征码自动提取的改进方法

随着计算机技术的发展和普及,计算机病毒带来的危害日趋严重。传统N-Gram算法难以提取不同长度的特征,导致有效特征缺失,并产生庞大的特征集合,造成空间的浪费。针对这些问题,提出一种改进的基于N-Gram的特征码自动提取方法。该方法在原有N-Gram 特征提取算法的基础上引入变长N-Gram特征,提取不同长度的有效特征,生成不定长病毒特征码。综合考虑特征频率的相关性,利用特征浓度对N-Gram特征进行有向筛选,生成数据字典,节省存储空间。实验结果表明,与单纯使用定长N-Gram的算法相比,该方法能有效降低特征码自动提取的误报率。     

Anomaly Detection Based on Discrete Wavelet Transformation for Insider Threat Classification

Unlike external attacks, insider threats arise from legitimate users who belong to the organization. These individuals may be a potential threat for hostile behavior depending on their motives. For insider detection, many intrusion detection systems learn and prevent known scenarios, but because malicious behavior has similar patterns to normal behavior, in reality, these systems can be evaded. Furthermore, because insider threats share a feature space similar to normal behavior, identifying them by detecting anomalies has limitations. This study proposes an improved anomaly detection methodology for insider threats that occur in cybersecurity in which a discrete wavelet transformation technique is applied to classify normal vs. malicious users. The discrete wavelet transformation technique easily discovers new patterns or decomposes synthesized data, making it possible to distinguish between shared characteristics. To verify the efficacy of the proposed methodology, experiments were conducted in which normal users and malicious users were classified based on insider threat scenarios provided in Carnegie Mellon University’s Computer Emergency Response Team (CERT) dataset. The experimental results indicate that the proposed methodology with discrete wavelet transformation reduced the false-positive rate by 82% to 98% compared to the case with no wavelet applied. Thus, the proposed methodology has high potential for application to similar feature spaces.     

基于机器学习的用户与实体行为分析技术综述

随着网络安全技术的更新迭代,新型攻击手段日益增加,企业面临未知威胁难以识别的问题。用户与实体行为分析是识别用户和实体行为中潜在威胁事件的一种异常检测技术,广泛应用于企业内部威胁分析和外部入侵检测等任务。基于机器学习方法对用户和实体的行为进行模型建立与风险点识别,可以有效解决未知威胁难以检测的问题,增强企业网络安全防护能力。回顾用户与实体行为分析的发展历程,重点讨论用户与实体行为分析技术在统计学习、深度学习、强化学习等3个方面的应用情况,研究具有代表性的用户与实体行为分析算法并对算法性能进行对比分析。介绍4种常用的公共数据集及特征工程方法,总结两种增强行为表述准确性的特征处理方式。在此基础上,阐述归纳典型异常检测算法的优劣势,指出内部威胁分析与外部入侵检测的局限性,并对用户与实体行为分析技术未来的发展方向进行展望。     

Insider threat mitigation: preventing unauthorized knowledge acquisition

This paper investigates insider threat in relational database systems. It discusses the problem of inferring unauthorized information by insiders and proposes methods to prevent such threats. The paper defines various types of dependencies as well as constraints on dependencies that may be used by insiders to infer unauthorized information. It introduces the constraint and dependency graph (CDG) that represents dependencies and constraints. In addition, CDG shows the paths that insiders can follow to acquire unauthorized knowledge. Moreover, the paper presents the knowledge graph (KG) that demonstrates the knowledgebase of an insider and the amount of information that the insider has about data items. To predict and prevent insider threat, the paper defines and uses the threat prediction graph (TPG). A TPG shows the threat prediction value (TPV) of each data item in insiders’ KG, where TPV is used to raise an alert when an insider threat occurs. The paper provides solutions to prevent insider threat without limiting the availability of data items. Algorithms, theorems, proofs and experiments are provided to show the soundness, the completeness and the effectiveness of the proposed approaches.     

Detecting Insider Threats: Solutions and Trends

ABSTRACT

Insider threats pose significant challenges to any organization. Many solutions have been proposed in the past to detect insider threats. Unfortunately, given the complexity of the problem and the human factors involved, many solutions which have been proposed face strict constraints and limitations when it comes to the working environment. As a result, many past insider threat solutions have in practice failed in their implementations. In this work, we review some of the recent insider threat detection solutions and explore their benefits and limitations. We also discuss insider threat issues for emerging areas such as cloud computing, virtualization, and social networking.     

基于受限玻尔兹曼机的电力信息系统多源日志综合特征提取

为了充分利用电力信息系统中的异构数据源挖掘出电网中存在的安全威胁, 本文提出了基于受限玻尔兹曼机(Restricted Boltzmann Machine, RBM)的多源日志综合特征提取方法, 首先采用受限玻尔兹曼机神经网络对各类日志信息进行规范化编码, 随后采用对比散度快速学习方法优化网络权值, 利用随机梯度上升法最大化对数似然函数对RBM模型进行训练学习, 通过对规范化编码后的日志信息进行处理, 实现了数据降维并得到融合后的综合特征, 有效解决了日志数据异构性带来的问题. 通过在电力信息系统中搭建大数据威胁预警监测实验环境, 并进行了安全日志综合特征提取及算法验证, 实验结果表明, 本文所提出的基于RBM的多源日志综合特征提取方法能用于聚类分析、异常检测等各类安全分析, 在提取电力信息系统中日志特征时有较高的准确率, 进而提高了网络安全态势预测的速度和预测精度.