基于MLP-HMM的跨站脚本攻击检测

针对隐马尔科夫模型(HMM)在跨站脚本检测中对初始先验假设估计不准确和以极大似然准则规定的HMM参数分类能力差的缺陷,提出了一种基于MLP-HMM的跨站脚本检测模型。首先,使用自然语言处理(NLP)方法解决数据高维复杂性问题。然后,通过多层感知机(MLP)神经网络学习对整个模型进行权值微调得到初始观察矩阵。最后,将该观察矩阵代入HMM中,增强HMM参数构建能力和分类能力。结果表明,结合MLP的HMM相比于原始HMM以及传统算法在跨站脚本检测上检测率有显著提高,并缩短了检测时间。     

基于shell命令和多重行为模式挖掘的用户伪装攻击检测

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能.     

基于HMM的应用层DoS攻击检测方法

为了能快速有效地识别出应用层DoS攻击, 提出一种基于HMM的应用层DoS攻击检测方法。该方法以应用层协议关键词和关键词之间的时间间隔作为输入, 采用隐马尔可夫模型来快速检测应用层DoS攻击。实验结果表明, 该方法对应用层上的多种DoS攻击都具有很高的检测率和较低的误报率。     

无线传感器网络内部攻击检测方法研究

随着无线传感器网络软硬件技术的发展,内部攻击逐渐成为无线传感器网络面临的主要安全威胁之一。综述了内部攻击检测技术的研究,根据攻击检测的对象将检测方法分为攻击行为检测、攻击节点检则和复件攻击检测,并指出了检测悖论、数目占优和中心模式等作为这些检测方法的安全假设制约了方法的性能。同时,概述了现有的关于移动无线传感器网络的攻击检测方法以及移动节点的加入给无线传感器网络解决内部攻击问题带来的变化,在此基础上,讨论了移动节点给内部攻击检测带来的机遇与挑战,指出了相关研究的未来发展方向。     

基于HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务(DDoS)攻击时,网络中数据包的统计特征会显示出异常.检测这种异常是一项重要的任务.一些检测方法基于数据包速率的假设,然而这种假设在一些情况下是不合理的.另一些方法基于IP地址和数据报长度的统计特征,但这些方法在IP地址欺骗攻击时检测率急剧下降.提出了一种基于隐马尔可夫模型(HMM)的DDoS异常检测方法.该方法集成了4种不同的检测模型以对付不同类型的攻击.通过从数据包中提取TCP标志位,UDP端口和ICMP类型及代码等属性信息建立相应的TCP,UDP和ICMP 的隐马尔可夫模型,用于描述正常情况下网络数据包序列的统计特征.然后用它来检测网络数据包序列,判断是否有DDoS攻击.实验结果显示该方法与其他同类方法相比通用性更好、检测率更高.     

基于隐马尔可夫模型的复合攻击预测方法

复合攻击成为网络攻击的主要形式之一,入侵检测系统仅能检测到攻击,但不能预测攻击。该文分析了传统的攻击预测方法的不足,提出一种基于隐马尔可夫模型的攻击预测方法,该方法使用隐马尔可夫模型中的Forward算法和Viterbi算法识别攻击者的攻击意图并预测下一步可能的攻击。通过实验验证了该方法的有效性。     

基于系统调用的混合HMM/MLP异常检测模型

首先描述了基于隐马尔可夫模型(HMM)的异常检测方法并指出其缺点．然后提出了一种将多层感知机(MLP)用作HMM的概率估计器的方法,以克服HMM方法的不足．最后建立了一个基于系统调用的混合HMM/MLP异常检测模型,并给出了该模型的训练和检测算法．实验结果表明,该混合系统的漏报率和误报率都低于HMM方法．     

基于攻击检测的网络安全风险评估方法

为了实时评估网络安全风险,建立了用于描述主机安全状态的隐马尔可夫模型,以入侵检测系统的报警信息作为模型输入,计算主机处于被攻击状态的概率.针对攻击报警,提出了一种新的攻击成功概率计算方法,然后结合攻击威胁度计算主机节点的风险指数.最后利用主机节点重要性权重与节点风险指数量化计算网络风险.实例分析表明,该方法能够动态绘制网络安全风险态势曲线,有利于指导安全管理员及时调整安全策略.     

基于隐马尔可夫模型的攻击意图识别技术研究

攻击意图识别是海量报警数据处理的重要技术。隐马尔可夫模型HMM能够很好地对复杂攻击行为建模,但对含干扰因素报警序列的攻击意图识别效果不够理想。本文为此提出了改进方案,并根据攻击意图识别的特殊性定义了新的解码问题,设计了解码算法。     

基于评分离散度的托攻击检测算法

检测托攻击的本质是对真实用户和虚假用户进行分类,现有的检测算法对于具有选择项的流行攻击、段攻击等攻击方式的检测鲁棒性较差。针对这一问题,通过分析真实用户和虚假用户的评分分布情况,结合ID3决策树提出基于用户评分离散度的托攻击检测Dispersion-C算法。算法通过用户评分极端评分比、去极端评分方差和用户评分标准差3个特征衡量用户评分离散度,并将其作为ID3决策树算法的分类特征,根据不同特征的信息增益选择特征作为分类属性,训练分类器。实验结果表明,Dispersion-C算法对各类托攻击均有良好的检测效果,具有较好的鲁棒性。     

基于FP-Growth算法的DDoS检测

通过分析分布式拒绝服务(DDoS)攻击的特征,提出了基于数据挖掘技术的网络入侵检测方法来检测DDoS攻击,针对数据挖掘中FP-growth算法不产生候选集的优势,对进行处理及分组后的网络数据进行频繁特征提取,根据DDoS攻击会使网络的流量数据发生变化的特点,来检测是否发生攻击事件.实验结果表明,当发生DDoS攻击后网络数据确实发生了巨大的变化, 通过对网络数据的特征提取,完全可以检测出DDoS攻击的发生.     

一种基于预测攻击的新型水印检测方案

在传统的含辅助信息水印检测方案中,通常的做法是从接收到的水印作品中减去原始作品,得到带噪声的水印模型。因此,水印不能完全提取。该文提出了一种基于预测攻击检测水印信号的方案,通过一定的方法预测水印图像所受到的攻击,根据预测结果,对原始图像进行同样的攻击来参与检测。实验表明该检测方案克服了辅助信息的残留噪声,大大提高了水印信息的检出率,改善了整个水印系统的性能。并且,该方案不失一般性,经验证可以应用到其他变换域和各种各样的算法中,有较强的通用性和应用前景。     

融合LSTM-GRU网络的语音逻辑访问攻击检测

为进一步提高语音欺骗检测的准确率,提出一种融合LSTM-GRU网络的语音逻辑访问攻击（语音转换、语音合成）检测方法。融合LSTM-GRU网络是由长短期记忆网络（ Long short-term memory,LSTM）层、门控循环神经单元（Gated recurrent unit,GRU）层、丢弃层、批归一化层和全连接层串联结合的一种混合网络,其中LSTM层可以解决语音序列中的长时依赖问题,GRU层则可降低模型参数量。实验在ASVspoof2019 LA数据集上进行,提取20维的梅尔倒谱系数特征用于模型训练,在测试阶段使用训练好的LSTM-GRU模型对测试集中的语音进行欺骗检测。与GRU网络及LSTM网络的比较结果表明：LSTM-GRU网络在3种网络模型中正确识别率最高,等错误率（Equal error rate, EER）比ASVspoof2019挑战赛所提供基线系统低27.07%,对逻辑访问攻击语音检测的平均准确率达到98.04%,并且融合LSTM-GRU网络具备训练时间短、防止过拟合及稳定性高等优点。结果证明本文方法可有效应用于语音逻辑访问攻击检测任务中。     

基于TCP缓存的DDoS攻击检测算法

由拒绝服务攻击（DOS）发展而来的分布式拒绝服务攻击（DDoS）已成为目前网络安全的主要威胁之一。从分析TCP缓存入手,提出一种基于缓冲区检测的DDoS检测算法。结合历史连接记录来对TCP缓存进行分析,生成特征向量,通过BP神经网络检测TCP缓存异常程度,根据异常程度判断是否发生攻击。实验结果表明,该算法能迅速准确地检测出DDoS攻击,有效阻止DDoS攻击的发生。     

基于攻击检测的用户可信度计算方法

目前的用户概貌攻击检测算法无法避免垃圾用户和真实用户的误判现象,从而影响个性化协同推荐系统的精度。为解决该问题,将时间集中性的概念引入到攻击检测中,提出一种基于正态云模型和时间集中性的可疑评分度量方法,并在此基础上给出一种基于攻击检测的用户可信度计算方法。实验结果表明,该方法能够根据用户评分的真实程度为每个用户计算出评分可信度,提高推荐精度。     

基于请求关键词的应用层DDoS攻击检测方法

针对EigenRep信任模型没有对节点恶意欺骗行为做出信誉惩罚修正的问题,改进了全局信誉的计算方法,即加入了影响因子,使得节点计算的全局信誉更客观。同时针对EigenRep模型每次交易都需要在全网络范围内做全局信誉的迭代计算从而导致系统开销过大的问题,提出了一种新的信任机制。实验表明,该机制结合风险、本地信任度和全局信誉的策略,可以大大减少系统开销,适合更大规模的网络环境的应用。最后,利用该机制实现了一个电子商务平台系统。     

基于信息熵的多Agent DDoS攻击检测

分布式拒绝服务攻击(DDOS)在短时间内产生大量的数据包,可以迅速耗尽网络或者主机的资源,对Internet的稳定性造成了巨大威胁.文中通过分析DDoS攻击的原理及攻击者的行为方式,划分攻击阶段,提取攻击特征,据此建立多Agent DDoS检测模型并分配各Agent的任务.模型由熵检测算法捕捉网络数据包的异常,再由DDoS的Ontology推断出攻击的具体情况.根据在DARPA 2000入侵检测数据集上的实验结果,模型对DDoS攻击的准备阶段和实施阶段有较高的识别率.     

基于流量行为图的攻击检测方法

传统基于流的攻击检测无法完全捕获网络通信模式,难以对网络中的攻击事件进行有效检测,而流量行为图中包含的信息可以有效反映主机的真实情况。文章针对多类型网络攻击检测问题,提出了基于流量行为图的攻击检测方法,实现了基于流量行为图的攻击检测。检测方法基于聚类和生成学习模型,包含两个阶段,第一阶段通过聚类算法尽可能地过滤良性节点,第二阶段应用生成学习模型检测多种不同攻击事件。在公开数据集上的实验结果表明,文章提出的攻击检测方法可以有效检测出网络中存在的多种不同攻击事件。此外,系统使用基于Apache Spark的分布式处理框架,可以有效进行大规模数据处理。     

基于深度学习的DDoS攻击检测模型

构建了基于粒子群优化卷积神经网络(PSO-CNN)的分布式拒绝服务攻击(DDoS)攻击检测模型.利用卷积神经网络的权值共享和最大池化自动挖掘网络数据流特征,引入粒子群对卷积核进行优化,在提升模型训练效率的同时,增强了模型的全局寻优能力.实验结果表明,该模型能够有效检测DDoS攻击,具有较高的检测准确率.     

基于SVM分类器的XSS攻击检测技术

Web应用高速发展的同时产生了大量安全漏洞,跨站脚本攻击(XSS)就是危害最为严重的Web漏洞之一,而基于规则的传统XSS检测工具难以检测未知的和变形的XSS。为了应对未知的和变形的XSS,文中提出了一种基于支持向量机(SVM)分类器的XSS攻击检测方案。该方案在大量分析XSS攻击样本及其变形样本和正常样本的基础上,提取最具代表性的五维特征并将这些特征向量化,然后进行SVM算法的训练和测试。通过准确率、召回率和误报率3个指标来对分类器的检测效果进行评价,并优化特征提取方式。改进后的SVM分类器与传统工具和普通SVM相比性能均有所提升。