一种加密流量行为分析系统的设计研究

随着互联网安全形势的日益严峻,采用流量加密方式进行业务传输的比重越来越大,针对加密流量的监管成为挑战。面对加密流量难以监管的难题,提出了一种加密流量行为分析系统。系统基于加密业务的流量特征,采用机器学习算法,无需解密网络流量就能对流量进行行为分析,实现了加密流量的识别和分类,并对系统进行了试验测试。测试结果显示,该系统可以发现隐藏在加密流量中的攻击行为、恶意行为和非法加密行为,对于安全人员掌握网络安全态势、发现网络异常具有重要意义。     

加密流量检测与态势预警平台研究

网络流量检测是实现网络整体安全态势感知的主要手段,通过采集网络流量、脆弱性、安全事件和威胁情报等数据,利用大数据和机器学习技术,分析网络行为及用户行为等因素构成的整个网络当前状态和变化趋势,并预测网络安全状态发展趋势。随着密码技术的广泛应用,网络中存在着越来越多的加密流量,如HTTPS、VPN流量;由于加密技术的使用,破坏了明文数据的统计特点、数据格式等,用通用的流量检测方法很难有效检测加密流量,基于加密技术的随机性、网络上下文等,结合人工智能技术和机器学习方法,研究和设计了网络加密流量检测体系框架、方法和关键技术,对加密流量的检测具有较强的指导意义。     

基于机器学习的物联网异常流量检测方法

随着物联网的广泛应用,物联网的安全问题受到越来越多的关注.针对物联网环境下异常网络流量问题,提出了基于机器学习的物联网异常流量检测方法.首先通过使用聚类算法分析物联网一段时间内网络数据的特征,然后使用连续假设检验算法对特征进行分类,并对恶意流量的空间分布进行二次特征分析.实验表明,相对于传统的异常流量检测方法,该检测方...     

基于机器学习的网络异常流量检测研究

异常流量检测需要在海量的数据流中检测出网络流量异常,传统的异常流量检测无法自学习和自演进,在复杂、多变的网络环境下面临巨大挑战。机器学习的方法在完成异常流量检测的同时,可以不断地对新的异常流量进行标记和学习,不断地完善异常流量检测系统,提高异常流量检测系统的准确度,并可对未知的异常进行预测与分类。文章对基于机器学习的网络异常流量检测进行分析和比较,包括监督学习、非监督学习、半监督学习下的异常流量检测,指出了基于机器学习的异常流量检测技术的未来发展方向。     

HTTPs加密流量识别方法研究

HTTPs加密流量识别主要采用HTTPs域名回填方案,对不能解析出HTTPs业务的域名的记录,通过DNS消息中返回的IP地址和HTTPs消息请求的目标IP进行关联,从而回填HTTPs消息的域名。通过这种方式,展开机器学习对HTTPs加密的用户面流量的识别研究,进一步识别出业务类型以及关键字段,提供页面浏览及视频业务的性能指标分析、用户行为分析所需字段信息。将机器学习在HTTPS识别中应用,突破识别技术难题,增强了DPI业务识别能力,提升了业务优化能力。     

支持数据隐私保护的恶意加密流量检测确认方法

为解决基于机器学习的恶意加密流量检测易产生大量误报的问题,利用安全两方计算,在不泄露具体数据内容的前提下实现网络流量内容和入侵检测特征间的字符段比对.基于字符段比对结果,设计入侵检测特征匹配方法,完成关键词的精准匹配.为保证所提方法的有效执行,提出用户终端输入随机验证策略,使恶意用户终端难以使用任意数据参与安全两方计算...     

卫星导航系统监测站加密流量检测方案

卫星导航系统监测站主要负责卫星定位跟踪、采集、记录和将数据传输到数据中心。为了保障数据的有效性和安全性,必须对数据进行加密后才能传输。面对越来越复杂的网络环境,如何精确,高效,实时地识别出网络加密流量,从而进一步检测出卫星导航加密数据,成为了一个具有挑战性的问题。本文针对加密协议未知,以及网络负载未知的网络加密流量,首先通过分析数据包首部信息,提取出了一组特征属性集——PBF特征集,用于机器学习模型的构建,然后提出了一种以AdaBoost-C4.5算法作为分类器的网络加密流量检测模型,最后通过机器学习方法自动检测加密流量。通过实验验证,该模型在准确率和稳定性上有较好的表现。     

基于深度学习的加密流量识别研究综述及展望

在安全和隐私保护需求的驱动下,网络通信加密化已经成为不可阻挡的趋势.加密网络流量呈现爆炸增长,给流量审计与网络空间治理带来了挑战.尽管机器学习已解决了部分加密流量识别的问题,但仍存在无法自动提取特征等局限.深度学习可以自动提取更本质、更有效的特征,已被用于加密流量识别,并取得了高精度.基于深度学习的加密流量识别的相关研...     

一种基于流量检测的校园网洪攻击防御方法研究

针对数字化校园运行的实际情况分析,分布式拒绝服务攻击成为校园网络安全的大敌,结合其攻击原理与相应的校园网络传输与解析协议,从数据中心服务器运行与维护出发,提出了一种基于流量监测的校园网数据中心服务器应对DDoS的方法,在不额外增加硬件运行成本的前提下,实现了一种直接面向流量进行分布式拒绝服务攻击的检测和防范.该方法在网络维护及实践应用中起到了保护服务器网络安全的作用.     

一种互联网宏观流量异常检测方法

网络流量异常指网络中流量不规则地显著变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要,但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式,因此变得很困难。文章提出一种分析网络异常的通用方法,该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间,并将流量向量影射在正常子空间中,使用基于距离的度量来检测宏观网络流量异常事件。     

使用时空相关性分析检测加密僵尸网络流量

In this paper, we propose a novel method to detect encrypted botnet traffic. During the traffic preprocessing stage, the proposed payload extraction method can identify a large amount of encrypted applications traffic. It can filter out a large amount of non-malicious traffic, greatly improving the detection efficiency. A Sequential Probability Ratio Test (SPRT)-based method can find spatial-temporal correlations in suspicious botnet traffic and make an accurate judgment. Experimental results show that the false positive and false negative rates can be controlled within a certain range.     

一种应用于交通视频检测的快速边缘提取算法

车辆边缘信息以及道路边缘信息是交通视频检测中重要的特征信息,而传统的边缘提取算法的运算量大,不能满足交通视频检测实时性的要求。文中突破传统算法中对一幅图像中每个像素点逐一运算的思想,提出了一种快速的边缘提取算法,对一幅图像进行整体运算,大幅降低了边缘提取算法的运算量。通过实验与传统的边缘提取算法比较,证明了该算法应用于交通视频检测效果良好。     

基于内容的Ajax异常检测技术研究

Ajax技术不断增加的复杂度、透明度以及代码量,大大增加了Ajax应用系统的攻击面和信息泄露的可能性。针对Ajax架构的漏洞特点和攻击行为,从数据包载荷内容的角度上对Ajax异常请求做出分析研究,总结出Ajax异常数据包的特征,并通过改进的BM算法进行特征提取,最后通过评估算法对提取的特征进行异常判断。实验结果表明,相对于传统的入侵检测方法,采用提出的Ajax异常检测技术能够比较高效准确地完成对Ajax异常请求的检测。     

一种基于特征分类的液体内杂质检测方法

在酒类产品的杂质检测过程中,不可避免地会产生气泡,而当前的杂质检测算法并不能有效消除气泡对检测的影响,尤其是在大量气泡存在的情况下。针对此问题,提出了一种基于特征分类的液体内杂质检测方法,通过提取目标的细微特征来区分杂质和气泡,算法通过双边滤波来预处理图像,改进了多尺度小波变换边缘检测算法,并用其来检测目标边缘,最后通过特征分类的方法来判定杂质。实验结果表明,该方法能有效消除噪声和气泡对检测的干扰,杂质检测的准确率达到了95%。     

融入环形振荡器木马特征的无监督硬件木马检测

机器学习用于集成电路硬件木马的检测可以有效提高检测率。无监督学习方法在特征选择上还存在不足,目前研究工作主要集中于有监督学习方法。文章引入环形振荡器木马的新特征,研究基于无监督机器学习的硬件木马检测方法。首先针对待测电路网表,提取每个节点的5维特征值,然后利用局部离群因子(LOF)算法计算各节点的LOF值,筛选出硬件木马节点。对Trust-HUB基准电路的仿真实验结果表明,该方法用于网表级电路硬件木马的检测,与现有基于无监督学习的检测方法相比,TPR(真阳性率)、P(精度)和F(度量)分别提升了16.19%、10.79%和15.56%。针对Trust-HUB基准电路的硬件木马检测的平均TPR、TNR和A,分别达到了58.61%、97.09%和95.60%。     

早期流量识别中多少个数据包最有效的实验研究(英文)

Accurately identifying network traffics at the early stage is very important for the application of traffic identification.Recent years,more and more research works have tried to build effective machine learning models to identify traffics with the few packets at the early stage.However,a basic and important problem is still unresolved,that is how many packets are most effective in early stage traffic identification.In this paper,we try to resolve this problem using experimental methods.We firstly extract the packet size of the first 2-10 packets of 3 traffic data sets.And then execute crossover identification experiments with different numbers of packets using 11 well-known machine learning classifiers.Finally,statistical tests are applied to find out which number is the best performed one.Our experimental results show that 5-7are the best packet numbers for early stage traffic identification.     

A Method for Anomaly Detection of User Behaviors Based on Machine Learning

1Introduction Intrusiondetectiontechniquescanbecategorizedinto misusedetectionandanomalydetection.Misusedetec tionsystemsmodelattacksasspecificpatterns,anduse thepatternsofknownattackstoidentifyamatchedac tivityasanattackinstance.Anomalydetectionsystems u…