基于混合神经网络的恶意TLS流量识别研究

针对使用传统机器学习方法来识别恶意TLS流量受到专家经验的影响较大、识别与分类效果不理想的问题,提出了HNNIM(Hybrid Neural Network Identification Model)模型来进行识别与分类.模型由两层组成:第一层用于提取特征,第二层用于识别与分类.第一层中,提取的特征分为两部分,一部分特...     

TLS协议恶意加密流量识别研究综述

随着5G时代的来临,以及公众对互联网的认识日益加深,公众对个人隐私的保护也越来越重视。由于数据加密过程中存在着恶意通信,为确保数据安全,维护社会国家利益,加密流量识别的研究工作尤为重要。针对TLS流量详细的阐述,分析了早期识别方法的改进技术,包括常见的流量检测技术、DPI检测技术、代理技术以及证书检测技术。介绍了选取不同TLS加密流量特征的机器学习模型,以及无需特征选择的深度学习模型等诸多最新研究成果。对相关研究工作的不足进行总结,并对未来技术的研究工作和发展趋势进行了展望。     

基于超图神经网络的恶意流量分类模型

随着网络的普及和依赖程度的不断增加,恶意流量的泛滥已经成为网络安全领域的严重挑战。在这个数字时代,网络攻击者不断寻找新的方式来侵入系统、窃取数据和破坏网络服务。开发更有效的入侵检测系统,及时发现并应对恶意流量,可以应对网络攻击的持续威胁,极大地减少网络攻击带来的损失。然而现有的恶意流量分类方法存在一些限制,其中之一是过度依赖对数据特征的选择。为了提高恶意流量分类的效果,提出了一种创新的方法,即基于超图神经网络的恶意流量分类模型。这一模型的核心思想是将流量数据表示为超图结构,并利用超图神经网络（HGNN,hypergraph neural network）来捕获流量的空间特征。HGNN能够更全面地考虑流量数据之间的关系,从而更准确地表征恶意流量的特征。此外,为了处理流量数据的时间特征,引入了循环神经网络（RNN,recurrent neural network）,进一步提高了分类模型的性能。最终,提取的时空特征被用于进行恶意流量分类,从而帮助检测网络中的潜在威胁。通过一系列消融实验,验证了HGNN+RNN模型的有效性,证明其能够高效提取流量的时空特征,从而改善了恶意流量的分类性能。在3个...     

基于多头注意力的恶意加密流量检测方法

恶意加密流量的识别是网络安全管理的一项重要内容。然而,随着网络用户的增加,网络流量的数量和种类正以指数级增加,这给网络安全管理带来了新的挑战和威胁。传统的恶意加密流量识别方法依赖专家经验,且对恶意加密流量特征区分能力不强,不适用目前复杂网络的场景。本文提出了基于多头注意力的恶意加密流量检测方法,通过多头注意力,流量特征可以被映射到多个子空间并进行高阶流量特征的提取,通过一维卷积神经网络进一步提取数据包内部的空间特征。实验结果表明,该方法在CTU数据集上对正常、恶意加密流量的二分类取得了优异的检测效果。     

基于不定长卷积神经网络的恶意流量分类算法

在当今信息爆炸、网络快速发展的时代,网络攻击与网络威胁日益增多,恶意流量识别在网络安全中发挥着非常重要的作用。深度学习在图像处理、自然语言处理上已经展现出优越的性能,因此有诸多研究将深度学习应用于流量分类中。将深度学习应用于流量识别时,部分研究对原始流量数据进行截断或者补零操作,截断操作容易造成流量信息的部分丢失,补零操作容易引入对模型训练无用的信息。针对这一问题,本文提出了一种用于恶意流量分类的不定长输入卷积神经网络(Indefinite Length Convolutional Neural Network, ILCNN),该网络模型基于不定长输入,在输入时使用未截断未补零的原始流量数据,利用池化操作将不定长特征向量转化为定长的特征向量,最终达到对恶意流量分类的目的。基于CICIDS-2017数据集的实验结果表明, ILCNN模型在F1-Score上的分类准确率能够达到0.999208。相较于现有的恶意流量分类工作,本文所提出的不定长输入卷积神经网络ILCNN在F1-Score和准确率上均有所提升。     

基于机器学习的TLS恶意加密流量检测方案

首先介绍了安全传输层（TLS,transport layer security）协议的特点、流量识别方法;然后给出了一种基于机器学习的分布式自动化的恶意加密流量检测体系;进而从 TLS 特征、数据元特征、上下文数据特征3个方面分析了恶意加密流量的特征;最后,通过实验对几种常见机器学习算法的性能进行对比,实现了对恶意加密流量的高效检测。     

基于深度生成对抗网络的恶意TLS流量识别

恶意加密流量识别公开数据集中存在的类不平衡问题,严重影响着恶意流量预测的性能。本文提出使用深度生成对抗网络DGAN中的生成器和鉴别器,模拟真实数据集生成并扩展小样本数据,形成平衡数据集。此外,针对传统机器学习方法依赖人工特征提取导致分类准确度下降等问题,提出一种基于双向门控循环单元BiGRU与注意力机制相融合的恶意流量识别模型,由深度学习算法自动获取数据集不同时序的重要特征向量,进行恶意流量得识别。实验表明,与常用恶意流量识别算法相比,该模型在精度、召回率、F1等指标上都有较好的提升,能有效实现恶意加密流量的识别。     

基于样本增强的加密应用流量识别方法

为解决网络流量数据类别不平衡导致的小类别样本识别率不高问题,提出利用基于样本增强方法平衡流量数据集,提升加密网络流量分类性能。首先,在生成对抗网络中使用深层卷积网络优化生成器,通过生成器与判别器迭代对抗训练,不断优化损失。其次,利用该生成模型扩展公开数据集中的小类别数据,使得数据集类间均衡。最后设计了一种一维卷积神经网络模型,充分挖掘流量中“会话-数据包-字节”层次结构特征,进行加密流量的应用分类。结果表明,平衡后的数据集分类效果相对于原始数据集提高3%左右,准确率达到97.86%。     

结合多特征识别的恶意加密流量检测方法

随着加密流量的广泛使用,越来越多恶意软件也利用加密流量来传输恶意信息,由于其传输内容不可见,传统的基于深度包分析的检测方法带来精度下降和实时性不足等问题.本文通过分析恶意加密流量和正常流量的会话和协议,提出了一种结合多特征的恶意加密流量检测方法,该方法提取了加密流量会话的包长与时间马尔科夫链、包长与时间分布及包长与时间...     

基于改进的一维卷积神经网络的异常流量检测

针对传统机器学习方法对特征依赖大、基于深度学习的检测方法效率低以及易过拟合的问题,提出一种基于改进的一维卷积神经网络（ICNN-1D）的异常流量检测方法（AFM-ICNN-1D）。与传统卷积神经网络（CNN）采用的“卷积-池化-全连接”结构不同,ICNN-1D主要由2个卷积层、2个全局池化层、1个dropout层和1个全连接输出层构成;其次,将预处理后的数据输入到ICNN-1D中,并将经过两次卷积之后的结果作为全局平均池化层与全局最大池化层的输入,之后将所得到的输出数据进行合并再送入全连接层进行分类;最后根据分类结果与真实数据对网络模型进行调优,再将训练好的模型用于异常流量检测。CIC-IDS-2017数据集上的实验结果显示,AFM-ICNN-1D的精准率和召回率均达到了98%,优于对比的k近邻（kNN）和随机森林（RF）方法;而且与传统的CNN相比,该方法的参数减少了约97%,训练时间缩短了约40%。实验结果表明,AFM-ICNN-1D具有较高的检测性能,能减少训练时间、避免过拟合现象的发生,而且能更好地保留流量数据的局部特征。     

基于孪生神经网络的恶意流量检测方法

随着科技的发展,个人电脑和手机成为现代社会中所不可缺少的智能设备。个人电脑和手机中丰富的应用程序通过互联网给用户提供诸如实时聊天、邮件、下载等便捷的网络服务。但是,这些设备的普及也吸引了大量的恶意攻击者,恶意应用程序和恶意流量随之产生。针对这一问题,在恶意流量分类检测的基础上,基于孪生神经网络提出一种端到端的单样本检测方法。对样本数据进行预处理转化为灰度图像,在TensorFlow深度学习框架下对图像样本进行训练学习,通过对比灰度图像间的相似程度实现了恶意流量的检测。提出的方法不仅能够实现端到端的单样本检测,而且在样本不均衡的分类问题上也给出了一种解决方案。最终的实验检测准确率可达95.04%,证明了该方法的可行性和科学性。     

基于迁移学习的加密恶意流量检测方法

现有加密恶意流量检测方法需要利用大量准确标记的样本进行训练,以达到较好的检测效果。但在实际网络环境中,加密流量数据由于其内容不可见而难以进行正确标记。针对上述问题,提出了一种基于迁移学习的加密恶意流量检测方法,首次将基于ImageNet数据集预训练的模型Efficientnet-B0,迁移到加密流量数据集上,保留其卷积层结构和参数,对全连接层进行替换和再训练,利用迁移学习的思想实现小样本条件下的高性能检测。该方法利用端到端的框架设计,能够直接从原始流量数据中提取特征并进行检测和细粒度分类,避免了繁杂的手动特征提取过程。实验结果表明,该方法对正常、恶意流量的二分类准确率能够达到99.87%,加密恶意流量细粒度分类准确率可达到98.88%,并且在训练集中各类流量样本数量减少到100条时,也能够达到96.35%的细粒度分类准确率。     

基于递归神经网络的散文诗自动生成方法

针对中文散文诗歌的自动生成,提出一种基于循环神经网络的时序性文本生成方法.通过现有语料库构建好一个词语集后,首先给定若干关键词,在聚类模型生成的词语集基础上进行关键词扩展生成首句.在确定首句的基础上,利用上下文模型对已生成内容进行压缩和上文特征获取,最后将之前上下文内容传递给递归神经网络模型实现后续句子的生成.该方法中首句生成的过程利用语言模型中的词汇集扩展,并通过上下文模型获取关联实现上下句的映射关系.本文采用BLEU自动评测方式和人工评测方式,建立起较为标准的评测系统,实验结果证实了该方法的有效性.     

基于隐马尔可夫模型的加密恶意流量检测

近年来,随着网络加密技术的普及,使用网络加密技术的恶意攻击事件也在逐年增长,依赖于数据包内容的传统检测方法如今已经无法有效地应对隐藏在加密流量中的恶意软件攻击.为了能够应对不同协议下的加密恶意流量检测,提出了基于ProfileHMM的加密恶意流量检测算法.该方法利用生物信息学上的基因序列比对分析,通过匹配关键基因子序列,实现识别加密攻击流量的能力.通过使用开源数据集在不同条件下进行实验,结果表明了算法的有效性.此外,设计了两种规避检测的方法,通过实验验证了算法具有较好的抗规避检测的能力.与已有研究相比,该工作具有应用场景广泛以及检测准确率较高的特点,为基于加密流量的恶意软件检测研究领域提供了一种较为有效的解决方案.     

基于特征融合的恶意加密流量识别

随着加密技术的全面应用, 越来越多的恶意软件同样采用加密的方式隐藏自身的网络活动, 导致基于规则和特征的传统方法无法满足准确性和普适性的要求. 针对上述问题, 提出一种层次特征融合和注意力的恶意加密流量识别方法. 算法具备层次结构, 依次提取数据包的特征和会话流的特征, 前一阶段设计全局混合池化方法进行特征融合; 后一阶段使用注意力机制提高BiLSTM网络分析序列关系的能力. 最终, 实验采用CIC-AndMal 2017数据集进行验证, 结果表明: 模型设计合理, 相比TextCNN模型和HST-MHSA模型, 漏报率分别降低5.8%和2.6%, 加权F1值分别提高4.7%和3.5%, 在恶意加密流量识别和分类方面体现良好的优化效果.     

基于一维卷积神经网络的网络流量分类方法

针对传统机器学习算法对于流量分类的瓶颈问题,提出基于一维卷积神经网络模型的应用程序流量分类算法。将网络流量数据集进行数据预处理,去除无关数据字段,并使数据满足卷积神经网络的输入特性。设计了一种新的一维卷积神经网络模型,从网络结构、超参数空间以及参数优化方面入手构造了最优分类模型。该模型通过卷积层自主学习数据特征,解决了传统基于机器学习的流量分类算法中特征选择问题。通过网络公开数据集进行模型测试,相比于传统的一维卷积神经网络模型,所设计的神经网络模型的分类准确率提升了16.4%,总分类时间节省了71.48%。另外在类精度、召回率以及[F1]分数方面都有较好的提升。