基于深度学习的僵尸网络检测技术研究

入侵检测系统通过分析网络流量来学习正常和异常行为,并能够检测到未知的攻击。一个入侵检测系统的性能高度依赖于特征的设计,而针对不同入侵的特征设计则是一个很复杂的问题。因此,提出了一种基于深度学习检测僵尸网络的系统。该系统利用卷积神经网络(Convolutional Neural Network,CNN)和长短期记忆网络(Long Short-Term Memory,LSTM)分别学习网络流量的空间特征和时序特征,而特征学习的整个过程由深度神经网络自动完成,不依赖于人工设计特征。实验结果表明,该系统在僵尸网络检测方面具有良好的表现。     

A self‐learning stream classifier for flow‐based botnet detection

Botnets have been recently recognized as one of the most formidable threats on the Internet. Different approaches have been designed to detect these types of attacks. However, as botnets evolve their behavior to mislead the signature‐based detection systems, learning‐based methods may be deployed to provide a generalization capacity in identifying unknown botnets. Developing an adaptable botnet detection system, which incrementally evolves with the incoming flow stream, remains as a challenge. In this paper, a self‐learning botnet detection system is proposed, which uses an adaptable classification model. The system uses an ensemble classifier and, in order to enhance its generalization capacity, updates its model continuously on receiving new unlabeled traffic flows. The system is evaluated with a comprehensive data set, which contains a wide variety of botnets. The experiments demonstrate that the proposed system can successfully adapt in a dynamic environment where new botnet types are observed during the system operation. We also compare the system performance with other methods.     

基于流量时空特征的fast-flux僵尸网络检测方法

僵尸网络已成为网络空间安全的主要威胁之一,虽然目前可通过逆向工程等技术来对其进行检测,但是使用了诸如fast-flux等隐蔽技术的僵尸网络可以绕过现有的安全检测并继续存活。现有的fast-flux僵尸网络检测方法主要分为主动和被动两种,前者会造成较大的网络负载,后者存在特征值提取繁琐的问题。因此为了有效检测fast-flux僵尸网络并解决传统检测方法中存在的问题,该文结合卷积神经网络和循环神经网络,提出了基于流量时空特征的fast-flux僵尸网络检测方法。结合CTU-13和ISOT公开数据集的实验结果表明,该文所提检测方法和其他方法相比,准确率提升至98.3%,召回率提升至96.7%,精确度提升至97.5%。     

隐马尔可夫模型在P2P僵尸网络检测中的应用

针对P2P僵尸网络的特点,将隐马尔可夫模型应用于P2P僵尸网络检测技术中.首先根据当前僵尸网络的发展状况及存在的问题分析了P2P僵尸网络的生命周期和行为特征;然后对僵尸主机的状态划分采用隐马尔可夫模型对P2P僵尸网络进行数学建模,并提出一种P2P僵尸网络的检测方法.通过实验,验证了检测方法的可靠性和合理性.     

基于多智能体社会的僵尸网络协同防御模型

针对现有僵尸网络检测体系结构中协同功能的不足,给出了一个基于多智能体社会的协同防御模型.模拟多智能体社会中的成员间的协同关系,设计了侦查、检测与反制三种社会成员角色,提出了基于协同防御模型的三层协同防御体系.典型案例分析表明本文模型具有较强的可扩展性和可交互性,可以灵活地部署在各种要保护的网络上,适应各种应用环境,具有较好的应用价值.     

基于量子计算的僵尸网络周期性通信行为检测算法

僵尸网络需要在控制者和受控主机之间维持周期性通信,如果能够有效识别僵尸网络的周期性通信行为,就能够以此为基础实现僵尸网络检测。尽管一些算法提出了基于周期性通信行为的僵尸网络检测方法,但是如何在海量数据中实现僵尸网络的快速检测仍然是一个问题。基于量子计算的僵尸网络周期性通信行为检测算法,是在已有算法的基础上引入量子计算来提高周期性通信检测算法的速度。实验结果表明,改进后的算法与已有算法相比,拥有相同的检测精度,与此同时,能够使用较少的查询次数完成僵尸网络检测,能够有效提高僵尸网络检测的速度。     

基于流角色检测P2P botnet

提出了一种基于流角色的实时检测P2P botnet的模型,该模型从流本身的特性出发,使其在检测P2P botnet时处于不同的角色,以发现P2P botnet的本质异常和攻击异常,同时考虑到了网络应用程序对检测的影响。为进一步提高检测精度,提出了一种基于滑动窗口的实时估算Hurst指数的方法,并采用Kaufman算法来动态调整阈值。实验表明,该模型能有效检测新型P2P botnet。     

基于极限学习机的遥感影像阴影检测

为提高阴影检测精度,采用基于极限学习机的遥感影像阴影检测方法,将纹理特征的能量、熵、对比度和逆差距4个指数作为输入特征向量训练学习机模型,实现阴影区域的检测。实验结果表明,当纹理窗口大小为4×4,步长为1时,能够将阴影区域较好地检测出来。该方法能够克服阈值法的地物错检问题以及反复选取阈值的缺点,并解决了神经网络及支持向量机多参数选取困难的问题,有效地提高了阴影区域检测速度和精度,具有较好的鲁棒性和泛化性能,综合性能优于阈值法、神经网络和支持向量机。     

On the resilience of P2P botnet footprints in the presence of legitimate P2P traffic

Botnet is a distributed platform for illegal activities severely threaten the security of the Internet. Fortunately, although their complicated nature, bots leave some footprints during the C&C communication that have been utilized by security researchers to design detection mechanisms. Nevertheless, botnet designers are always trying to evade detection systems by leveraging the legitimate P2P protocol as C&C channel or even mimicking legitimate peer‐to‐peer (P2P) behavior. Consequently, detecting P2P botnet in the presence of normal P2P traffic is one of the most challenging issues in network security. However, the resilience of P2P botnet detection systems in the presence of normal P2P traffic is not investigated in most proposed schemes. In this paper, we focused on the footprint as the most essential part of a detection system and presented a taxonomy of footprints utilized in behavioral P2P botnet detection systems. Then, the resilience of mentioned footprints is analyzed using three evaluation scenarios. Our experimental and analytical investigations indicated that the most P2P botnet footprints are not resilient to the presence of legitimate P2P traffic and there is a pressing need to introduce more resilient footprints.     

基于Command and Control通信信道流量属性聚类的僵尸网络检测方法

僵尸网络(Botnet)是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel, CC)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。该文提出一种与僵尸网络结构和CC协议无关,不需要分析数据包的特征负载的僵尸网络检测方法。该方法首先使用预过滤规则对捕获的流量进行过滤,去掉与僵尸网络无关的流量;其次对过滤后的流量属性进行统计;接着使用基于X-means聚类的两步聚类算法对CC信道的流量属性进行分析与聚类,从而达到对僵尸网络检测的目的。实验证明,该方法高效准确地把僵尸网络流量与其他正常网络流量区分,达到从实际网络中检测僵尸网络的要求,并且具有较低的误判率。     

Particle Swarm Optimization Algorithm Based Artificial Neural Network for Botnet Detection

A standout amongst the most dangers to the cyber security is known as Botnet since it offers a conveyed stage for many undesirable activities. From the network traffic flow, the identification of Botnet is a fundamental test. Artificial Neural Network–Particle Swarm Optimization (ANN–PSO) based botnet discovery is proposed in this paper. In this paper, ISCX dataset is utilized for botnet location. The features are classified as botnet flow and normal flow by giving the features separated from the dataset as a contribution to the grouping. For grouping, we have displayed ANN–PSO which lessens the false classification ratio and time multifaceted nature to 3.3% and 14 s. We contrast our proposed work with other existing work and demonstrate that our work is superior to anything that of alternate works in the simulation results.

     

流量自适应的移动僵尸网络云控机制研究

僵尸网络从传统恶意代码进化而来,随着智能手机的计算能力与移动互联网接入技术的快速发展,构建移动僵尸网络已成为一种潜在的威胁。针对移动互联网,提出一种具有流量自适应性的移动僵尸网络云控机制,通过分析用户的流量使用情况,在3G和Wi-Fi不同网络环境下采取不同的流量使用策略,使用自适应的调度算法执行僵尸指令。仿真实验证明,在确保僵尸网络命令有效执行的情况下,流量自适应调度算法可有效增强移动僵尸网络的隐蔽性和实时性。     

僵尸网络检测算法的比较研究

僵尸网络是由许多台被恶意代码感染控制并与互联网相互连接的计算机所组成,其正步入快速发展期,并已对因特网安全造成了严重威胁。文章针对目前国际上主流僵尸网络检测算法进行分析和比较,给出每种检测算法的优点和不足。     

使用时空相关性分析检测加密僵尸网络流量

In this paper, we propose a novel method to detect encrypted botnet traffic. During the traffic preprocessing stage, the proposed payload extraction method can identify a large amount of encrypted applications traffic. It can filter out a large amount of non-malicious traffic, greatly improving the detection efficiency. A Sequential Probability Ratio Test (SPRT)-based method can find spatial-temporal correlations in suspicious botnet traffic and make an accurate judgment. Experimental results show that the false positive and false negative rates can be controlled within a certain range.     

基于卷积神经网络的Android流量分类方法

深度学习就是机器学习研究的过程,主要通过模拟人脑分析学习的过程对数据进行分析。目前,深度学习技术已经在计算机视觉、语音识别、自然语言处理等领域获得了较大发展,并且随着该技术的不断发展,为网络流量分类和异常检测带来了新的发展方向。移动智能手机与大家的生活息息相关,但是其存在的安全问题也日益凸显。针对传统机器学习算法对于流量分类需要人工提取特征、计算量大的问题,提出了基于卷积神经网络模型的应用程序流量分类算法。首先,将网络流量数据集进行数据预处理,去除无关数据字段,并使数据满足卷积神经网络的输入特性。其次,设计了一种新的卷积神经网络模型,从网络结构、超参数空间以及参数优化方面入手,构造了最优分类模型。该模型通过卷积层自主学习数据特征,解决了传统基于机器学习的流量分类算法中的特征选择问题。最后,通过CICAndmal2017网络公开数据集进行模型测试,相比于传统的机器学习流量分类模型,设计的卷积神经网络模型的查准率和查全率分别提高了2.93%和11.87%,同时在类精度、召回率以及F1分数方面都有较好的提升。     

低信噪比下基于YOLOv3的昆虫目标检测

掌握昆虫迁飞规律对于农业防治和生态学研究具有重大意义,雷达正是检测昆虫迁飞最有效的手段.昆虫回波弱,传统的恒虚警检测(Constant False Alarm Rate,CFAR)算法在低信噪比(Signal To Noise Ratio,SNR)时的检测性能下降;同时昆虫目标体积小、飞行速度慢,在距离维和多普勒维的扩...     

基于异常行为特征的僵尸网络检测方法研究

基于僵尸网络通信及网络流量的异常行为,可以有效检测出僵尸频道。介绍了通过对主机响应信息的异常分析,进而判断出当前IRC频道是否为一个僵尸频道的检测算法。由此引入了基于异常行为的僵尸频道检测模型,该模型分类提取IRC频道的主机响应信息,结合检测算法分析得出结论。实验结果验证了该模型的有效性。     

融入注意力网络的深度分解机推荐算法

推荐系统能够在海量的信息中找到满足用户个性化需求的信息。随着深度学习的发展,深度学习也开始广泛被推荐系统所应用。CTR预估在推荐系统中起着重要作用,已被应用在个性化推荐、信息检索、在线广告等多个领域。针对推荐系统数据量大且稀疏的问题,文中将注意力网络和xDeepFM模型融合,提出了一种新的基于深度学习的CTR预估模型,即Atte-xDeepFM模型。该模型能够解决特征稀疏问题,有效学习特征之间的交互关系,且不需要手动提取特征工程中的有用信息。在Avazu数据集和Criteo数据集上进行的对比实验证明了文中提出的模型的有效性。与推荐系统CTR预估常用的算法模型对比,文中所提出的模型具有更好的推荐效果。     

基于少量样本学习的多目标检测跟踪方法

视频目标检测跟踪算法一直是计算机视觉领域的研究热点,目前大部分方法均需人工采集样本训练检测模型,搭建目标检测跟踪系统.当目标成像条件发生变化时,需重新采集样本,训练模型,调试整个检测跟踪系统,耗费大量人力、物力.本文提出一种基于少量样本学习的多目标检测跟踪算法,只需在监控视频第一帧指定待检测目标,即可自主生成混合分类模...     

基于流形学习的视频异常行为检测算法

随着日益突出的公共安全问题和迅速增长的视频数据流量,智能化的视频监控异常行 为检测成为计算机视觉方向的研究热点。由于监督学习下的异常行为检测训练效果易受视频 监控数据集分布不平衡影响,本文采用无监督学习方法得到具有时空间分辨率的异常行为检 测效果。提出基于多流形谱聚类的异常行为检测方法,利用图像特征点列构建时序信息特征 ,利用流形学习构建空间信息特征,最终利用谱聚类方法无监督地得到视频异常行为检测结 果。在UCSD数据集上进行实验验证,本文方法具有较好的检测性能和计算速度。