基于模型研判的TLS恶意流量检测

为了解决加密流量中隐藏的网络安全攻击行为，提出了基于模型研判的安全传输层协议（Transport Layer Security,TLS）恶意流量检测技术。在网关设备对加密流量不进行解密的情况下，提取流量中的密钥协商和身份认证等明文信息，并结合网络安全专家经验和机器学习算法知识，通过数据处理、特征编码等技术手段，在不消耗大量资源的前提下，准确检测出加密流量中的恶意攻击事件，实现了对加密流量的智能化检测，可帮助企业保障通信安全。     

基于无监督自适应模糊聚类的多家族恶意域名细粒度检测

针对现有恶意域名检测方法检测时间开销大、对新出现或新变种的恶意域名检测精度不高的问题,提出一种基于无监督自适应模糊聚类的多家族恶意域名细粒度检测方法。该方法首先利用词向量映射网络(Bidirectional Encoder Representation from Transformers, BERT)将域名字符串映射为词向量矩阵;然后,利用深度自编码网络的编解码模块实现域名字符串向量矩阵的特征提取;最后,引入一种自适应模糊聚类算法实现多家族恶意域名和合法域名在隐空间中的特征聚类。通过在多个家族恶意域名和常见域名数据集上进行测试,实验结果表明所提出算法可以在二分类任务中实现97.71%的准确率,在8个家族的细粒度多分类任务上可以实现96.25%的准确率。综合检测性能优于当前主流的恶意域名检测算法。同时,所提出域名具有较低的时间开销,这为实时过滤恶意域名、预防恶意域名的入侵攻击提供了一种新的手段。     

DDoS攻击恶意行为知识库构建

针对分布式拒绝服务（distributed denial of service,DDoS）网络攻击知识库研究不足的问题,提出了DDoS攻击恶意行为知识库的构建方法。该知识库基于知识图谱构建,包含恶意流量检测库和网络安全知识库两部分：恶意流量检测库对 DDoS 攻击引发的恶意流量进行检测并分类;网络安全知识库从流量特征和攻击框架对DDoS 攻击恶意行为建模,并对恶意行为进行推理、溯源和反馈。在此基础上基于DDoS 开放威胁信号（DDoS open threat signaling,DOTS）协议搭建分布式知识库,实现分布式节点间的数据传输、DDoS攻击防御与恶意流量缓解功能。实验结果表明,DDoS攻击恶意行为知识库能在多个网关处有效检测和缓解DDoS攻击引发的恶意流量,并具备分布式知识库间的知识更新和推理功能,表现出良好的可扩展性。     

边缘网络中一种VNF需求预测方法

针对当前虚拟网络功能（Virtualization Network Functions,VNF）需求预测方法准确率较低且不适用于边缘网络的问题,提出了一种在边缘网络中基于支持向量回归（Support Vector Regression,SVR）与门控循环单元（Gated Recurrent Unit,GRU）神经网络模型结合的VNF需求预测方法。考虑到网络边缘流量具有突发性、自相似性及长相关性等特点,结合SVR和GRU两种模型的优点,利用计算复杂度较低的SVR和GRU模型分别提取网络服务历史时序数据的短期特征和长期特征,以提高VNF需求预测准确率,实现边缘网络中VNF的提前放置。实验表明,所提出的预测方法在边缘网络中针对不同网络服务的预测较于传统方法、循环神经网络（Recurrent Neural Networks,RNN）、长短期记忆网络（Long Short-Term Memory,LSTM）模型能够降低20%~30%的误差,有更佳的预测效果。     

基于属性基加密的恶意域名训练异常数据检测

传统的恶意域名训练异常数据检测耗时过长,检测准确率较低,为此提出基于属性基加密的恶意域名训练异常数据检测。分析域名长度、域名访问周期、突发的域名系统请求查询以及域名查询失败记录四大行为,通过提取IP地址、域名的共享地址数目、域名查询返回的终极地址以及对抗网络四个特征,转换攻击的数据信息。设置数据加密器,根据访问权限所涉及的属性向可信中心申请公钥对文件加密,形成最终的密文。实验结果表明,所提方法能够有效缩短检测时间,提高检测准确率。     

BLAC:注意力机制时序网络流量异常检测模型

入侵检测的难点之一是如何准确识别流量数据的异常特征。文中提出一个基于卷积神经网络（CNN）、双向长短期记忆网络（Bi-LSTM）和注意力（Attention）的时序流量异常检测模型,即BLAC。为提高BLAC模型的特征提取准确度,使用CNN提取流量数据中的空间特征,利用Bi-LSTM提取流量数据的完整时间特征,解决Attention难以对复杂时间序列数据位置信息进行编码的问题。通过对Attention权重的可视化分析,推测出异常在窗口中发生的时间点。使用雅虎的Webscope S5数据集进行对比试验,结果表明,BLAC模型的性能优于其他SOTA模型,其中关键指标召回率高达98.69%,表示二分类精确度的F1得分达到97.73%。     

基于联邦学习的隐私保护区域交通流量预测模型

区域交通流量预测是智慧交通系统的一项重要功能。联邦学习可以支持多位置服务提供商(Location Service Provider, LSP)的联合训练,使得训练数据集可以更加全面地覆盖整个区域的交通流量,提高预测准确率。但是,当前基于联邦学习的区域交通流量预测方案存在车辆数据去重、训练节点背叛以及隐私泄露等问题。为此,构建了基于联邦学习的隐私保护区域交通流量预测(Privacy-Preserving Regional Traffic Flow Prediction based on Federated Learning, PPRTFP-FL)模型。模型采用中心部署架构,由联邦中央服务器协调各个LSP联合完成模型的训练,并对全局模型进行梯度聚合与模型更新;采用交叉评价加权聚合的策略来防御部分不可信节点对全局模型的恶意攻击,提升了全局模型的鲁棒性;预测阶段使用同态加密聚合算法,各LSP在不泄露自身运营数据的情况下实现了更准确的流量预测。利用相关数据集进行测试,测试结果表明当训练数据集覆盖区域流量充分的情况下,本模型相比本地模型的预测准确率有明显的提升。对模型进行不同比例的恶意节点攻击实验...     

基于改进深度残差网络的恶意应用检测方法

本文改进了深度残差网络,同时预处理了流量特征,使之成为卷积神经网络的输入,转化为模型可输入数据。接着使用从深度残差网络提取流量图特征,然后引入金字塔特征提取模块并加入变化特征融合模块来有效的融合变化区域的特征并抑制非恒定区域的特征。最后使用多粒度流量特征进行恶意应用检测识别,最终获得粗粒度与细粒度的流量特征表达,最后融合多粒度的流量特征表达,实现恶意应用高精度识别。本文方法在恶意应用的2分类、4分类和42分类中准确率分别为99.30%、99.63%和96.25%,相较于传统的机器学习算法在模型的准确率、召回率等方面均具有较好的效果。     

基于改进随机森林的工业互联网安全态势评估方法

针对工业互联网安全态势评估存在数据特征提取困难和安全态势评估准确率低等难题,提出一种基于改进随机森林的工业互联网安全态势评估方法 .基于随机采样技术平衡原始数据集以减小不平衡数据集对实验的影响;利用梯度提升决策树确定工业互联网流量数据中不同特征的权重系数,结合递归特征消除法提取其关键特征;构建基于改进随机森林的工业互联网多分类攻击检测模型,识别网络受到的攻击类别,并结合安全态势量化指标确定其风险程度.实验结果表明,本文算法的检测准确率和F1值分别达到89.19%和89.68%,相较于传统随机森林算法、支持向量机和K最近邻算法,其准确率和F1值分别至少提高2.91%和1.7%,平均分别提高8.38%和9.33%.     

基于数据增强和集成学习的网络流量检测

针对网络流量检测中普遍存在的恶意流量样本不平衡问题，提出了一种基于数据增强和集成学习的分类方法。该方法采用K-means+SMOTE数据增强来平衡不同类别的数据样本，然后利用集成学习模型提高分类模型的泛化能力。在两个公开数据集上的实验结果表明，使用XGBoost进行二元和多类分类时，准确率分别达到99.1%和97.19%。与CNN、随机森林和LightGBM等模型相比，所提方法始终表现出显著性能优势。     

基于MGS+NN算法的恶意流量安全检测技术研究

随着计算机技术及相关应用的高速发展,越来越多的信息系统投入应用到人们的日常生活中,与此同时,IPv6技术的普及也使得越来越多的物联网设备呈爆发式增长。然而针对各类信息系统及物联网设备的攻击层出不穷,已严重威胁日常信息系统的安全运行。所以,针对恶意流量的安全检测技术在网络安全中起到至关重要的作用。本文提出一种基于多粒度扫描和BP神经网络的恶意流量检测算法,通过对实验数据的计算与模拟,利用本算法得到了较好的准确率,证明了本算法的有效性。     

基于多模态深度神经网络的应用层DDoS攻击检测模型

为进一步提升应用层DDoS攻击检测准确率,提出一种将流量与用户行为特征相结合且模型参数可高效更新的应用层DDoS攻击检测模型.为统一处理流量与用户行为特征的异源数据,利用多模态深度(Multimodal Deep Learning,MDL)神经网络从数据流量与网页日志中提取流量与用户行为深层特征后输入汇聚深度神经网络进...     

卫星导航系统监测站加密流量检测方案

卫星导航系统监测站主要负责卫星定位跟踪、采集、记录和将数据传输到数据中心。为了保障数据的有效性和安全性,必须对数据进行加密后才能传输。面对越来越复杂的网络环境,如何精确,高效,实时地识别出网络加密流量,从而进一步检测出卫星导航加密数据,成为了一个具有挑战性的问题。本文针对加密协议未知,以及网络负载未知的网络加密流量,首先通过分析数据包首部信息,提取出了一组特征属性集——PBF特征集,用于机器学习模型的构建,然后提出了一种以AdaBoost-C4.5算法作为分类器的网络加密流量检测模型,最后通过机器学习方法自动检测加密流量。通过实验验证,该模型在准确率和稳定性上有较好的表现。     

基于聚类法改进JA3指纹识别的恶意加密流量识别

随着互联网的发展及政务、商务领域电子化的普及,基于信息安全和隐私保护的需求,以及人们的信息安全意识日益提高。现阶段,数据的传输和通信大量采用加密技术,使加密流量呈爆发式增长。加密流量在保护个人数据安全的同时也让恶意流量的传播变得更加隐蔽,恶意加密流量检测已经成为信息安全领域的一个重要研究方向。基于此,提出一种基于JA3指纹识别技术的恶意加密流量识别方法,在传统JA3技术的基础上通过聚类法识别恶意流量,不经过解密即可对加密流量进行识别。     

基于CNN-ABC-BiGRU的火电厂数据分析与应用研究

在大数据环境下,现代企业生产数据的挖掘与利用对提升企业经济效益与提质增效尤为重要。目前企业工艺数据的利用与维护,多依赖专家经验与传统数据分析方法,针对这些企业数据处理与分析存在的局限性和共性问题,以大数据环境下火电厂锅炉系统运行状态预测为例,提出了一种基于Hadoop框架的卷积神经网络（Convolutional Neural Networks,CNN）-人工蜂群算法（Artificial Bee Colony,ABC）-双向门控循环网络（Bidirectional Gate Recurrent Unit,BiGRU）模型的主蒸汽流量预测方法。基于分布式预测模型对辽宁某电厂监测数据进行分析,结果表明,在预测波动较大的主蒸汽流量时,该方法在提升速度的同时,相较于传统BP、LSTM、GRU、BiGRU、CNN-BiGRU等模型,MAE值分别降低了61.188%、51.348%、46.342%、38.005%和20.560%,预测精度有所提高。     

基于解耦空间异常检测的人脸活体检测算法

现有基于异常检测的方法大多仅利用活体样本进行单类建模,这样的特征用于活体检测的泛化能力强但准确率不高。而且,活体人脸特征单类建模并没有考虑活体人脸样本的多样性。活体人脸样本的不同身份、环境、采集设备等因素都会导致活体人脸的特征表达不紧凑,这样使得假体样本特征容易混入其中。为了解决以上两个问题,本文提出了一种基于解耦空间异常检测的人脸活体检测算法。本文设计了单中心对比损失,使得活体人脸特征在不限制假体人脸特征分布的情况下表达地更加紧凑。本文还对活体人脸进行了特征解耦,将其特征分为两个子空间：活体检测特征空间、活体无关特征空间。活体检测特征空间不受其他无关因素的影响,结合单中心对比损失来提高模型的泛化能力。库内实验和跨库实验共在5个数据集上与最新的方法进行了比较,在OULU-NPU数据集中,协议1相比于性能第2的模型错误率下降超过一半,最具挑战的协议4取得了仅3.3%的错误率;在SiW数据集的三个协议中也取得更低的错误检测率;在跨库实验中本文算法也表现出不错的泛化能力,尤其是在从重放攻击和打印攻击跨到3D面具攻击的跨攻击类型的测试中相比于性能第2的模型错误率下降5.41%。本文提出的人脸活...     

基于群卷积神经网络的恶意域名检验方法

针对恶意域名检测中存在的随机性大、现实样本少的缺陷,导致深度学习模型训练易出现过拟合的问题,提出了一种基于群卷积神经网络的恶意域名检测方法。首先将域名转换为嵌入词向量表示,然后通过随机维度组合生成随机数据集并构建卷积神经网络组,鉴于Inception结构优势将其加入到网络中,最后针对数据集易出现的类间样本失衡问题,引入了类间平衡系数以抑制模型训练过拟合,提高模型泛化能力。实验结果表明,在采集的域名检测数据集上,所构建的模型能够有效实现恶意域名检测;经过参数优化,相比于浅层模型组合分类器与典型深度神经网络模型LSTM-CNN,群卷积神经网络对所构建的域名检测集检测准确率分别提升了4%、1%,达到98.9%。     

基于随机森林的无线通信网络入侵检测方法

由于传统网络入侵检测方法依赖特征知识库对恶意流量数据进行智能判别,导致检测结果的精度较低,本研究提出基于随机森林的无线通信网络入侵检测方法。根据入侵位置划分无线通信网络的入侵方式,提取并处理不同入侵方式下的无线通信网络流量数据,基于随机森林算法对提取数据中的恶意流量与正常流量进行分类,以此完成无线通信网络入侵检测。实验结果表明,文章设计的方法检测不同类型的无线通信网络入侵行为时误检率为2.83%,证实了该方法的有效性与精确性。     

基于GRU的Android恶意软件检测

本文为了提高Android恶意软件的检测效率,利用GRU模型解决标准RNN中出现的梯度消失问题和处理上下文具有长期依赖关系问题的能力,提出了基于GRU模型的Android恶意软件检测方法。对原始数据做标准化处理,将原始的数据集变化为特定尺寸的特征向量,可以用作深度学习网络模型的输入。使用Drebin数据集进行对照试验,对实验中特征向量进行降维处理,在全连接层实现归一化处理,最后在softmax分类,GRU层作为门控机制来保存代码数据间的依靠关系。对照实验结果表明,GRU模型与机器学习中的SVM模型以及单一的LSTM、DCNN模型相比,训练时间更短,检测结果中准确率、召回率、精确率、F1值都是最高的。     

基于SVM-DT-MLP模型的Web日志异常流量检测研究

随着Web应用程序的普及,网络攻击和安全漏洞的风险日益增加。Web日志文件详细记录了网站运行信息,对日志中的流量进行分类从而检测出异常攻击流量是保障网页长期提供稳定、安全服务行之有效的方法之一。文中将Voting特征选择与Stacking集成相结合,构建了SVM-DT-MLP模型,并将其用于Web日志异常流量检测。测试结果表明,SVM-DT-MLP模型的性能显著优于单一算法模型,其Precision（精确度）达到92.44%,Recall（召回率）达到92.43%,F1-Score(F1值)达到92.44%。这意味着该模型能够有效地检测出异常攻击流量,并在保障网页提供稳定和安全服务方面具有很好的效果。