基于半监督学习的无线网络攻击行为检测优化方法

针对如何优化深度学习技术在海量高维复杂的无线网络流量数据中有效发现异常攻击行为的问题,提出一种基于半监督学习的无线网络攻击行为检测优化方法(WiFi network attacks detection optimization method, WiFi-ADOM).首先基于无监督学习模型栈式稀疏自编码器提出2种网络流量特征表示向量：新特征值向量和原始特征权重值向量.然后利用原始特征权重值向量初始化监督学习模型深度神经网络的权重值得到网络攻击类型的预判结果,并通过无监督学习聚类方法Bi-kmeans对网络流量的新特征值向量进行聚类以生成未知攻击类型判别纠正项.最后结合预判结果和未知攻击类型判别纠正项,得到网络攻击类型的最终判定结果.通过和已有研究方法对比,在公开无线网络攻击行为数据集AWID上验证了WiFi-ADOM方法对网络攻击行为检测的优化性能,同时探索了与网络攻击检测相关的重要特征属性的问题.实验结果表明:WiFi-ADOM方法在保证准确率等检测性能的同时能够有效检测未知攻击类型,具备优化网络攻击行为检测的能力.     

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。     

实时的移动互联网攻击盲检测与分析算法

大规模移动互联网攻击检测算法需要攻击行为的先验信息或者需要对攻击行为进行监督学习,降低了攻击检测算法的实时性与实用性,为此提出了一种实时的移动互联网攻击盲检测与分析算法。首先,提取每个时段网络流量的最大特征值,结合最大特征值与模型阶数选择技术检测每个时段是否存在攻击行为;然后,通过特征值分析技术来识别攻击的类型,识别出特征值的变化细节;最终,设计了相似性分析方案来分析攻击的端口与时间等细节信息。基于真实实验与公开网络流量数据集的仿真结果表明,该算法获得较高的攻击检测准确率。     

基于大数据技术的网络异常行为检测模型

针对传统的网络异常检测受数据存储、处理能力的限制,存在准确率较低、误报率较高以及无法检测未知攻击的问题。在Spark框架下结合改进的支持向量机和随机森林算法,提出了一种基于大数据技术的网络异常行为检测模型。使用NSL-KDD数据集进行了方法验证,表明该方法在准确率和误报率方面明显优于传统的检测算法,整体检测的准确率和误报率分别为96.61%和2.92%,DOS、Probe、R2L和U2R四种攻击类型的准确率分别达到98.01%、88.29%、94.03%和66.67%,验证了方法的有效性。     

基于朴素贝叶斯的网络异常流量攻击行为预测方法

为解决网络异常流量攻击行为预测准确性较低的问题，研究基于朴素贝叶斯的网络异常流量攻击行为预测方法。首先，提取流量特征，对流量进行分类；其次，控制异常流量的攻击，对网络异常流量的攻击行为进行处理与预测，实现对攻击行为的实时监测；最后，进行实验分析。实验结果表明，该方法对于异常流量的预测准确率较高，能够有效地适用于复杂多变的网络流量信息。     

一种基于GRU的半监督网络流量异常检测方法

入侵检测系统(IDS)是在出现网络攻击时能够发出警报的检测系统，检测网络中未知的攻击是IDS面临的挑战。深度学习技术在网络流量异常检测方面发挥着重要的作用，但现有的方法大多具有较高的误报率且模型的训练大多使用有监督学习的方式。为此，提出了一种基于门循环单元网络(GRU)的半监督网络流量异常检测方法(SEMI-GRU)。该方法将多层双向门循环单元神经网络(MLB-GRU)和改进的前馈神经网络(FNN)相结合，采用数据过采样技术和半监督学习训练方式，应用二分类和多分类方式检验网络流量异常检测的效果，并使用NSL-KDD,UNSW-NB15和CIC-Bell-DNS-EXF-2021数据集进行验证。与经典机器学习模型和DNN,ANN等深度学习模型相比，SEMI-GRU方法在准确率、精确率、召回率、误报率和F1分数等指标上的表现均表现更优。在NSL-KDD二分类和多分类任务中，SEMI-GRU在F1分数指标上领先于其他方法，分别为93.08%和82.15%;在UNSW-NB15二分类和多分类任务中，SEMI-GRU在F1分数上的表现优于对比方法，分别为88.13%和75.24%;在CIC-Be...     

基于事件流数据世系的恶意网络行为检测方法

目前网络攻击呈现高隐蔽性、长期持续性等特点,极大限制了恶意网络行为检测对网络攻击识别、分析与防御的支撑。针对该问题,提出了一种基于事件流数据世系的恶意网络行为检测方法,采用事件流刻画系统与用户及其他系统间的网络交互行为,构建数据驱动的事件流数据世系模型,建立面向事件流数据世系相关性的异常检测算法,从交互数据流角度分析和检测恶意网络行为事件,并基于事件流数据世系追溯恶意网络行为组合,为网络攻击分析提供聚焦的关联性威胁信息。最后通过模拟中间人和跨站脚本组合式网络渗透攻击实验验证了方法的有效性。     

面向社会安全事件的分布式神经网络攻击行为分类方法

大数据时代下,社会安全事件呈现出数据多样化、数据量快速递增等特点,社会安全事件的事态与特性分析决策面临巨大的挑战。高效、准确识别社会安全事件中的攻击行为的类型,并为社会安全事件处置决策提供帮助,已经成为国家与网络空间安全领域的关键性问题。针对社会安全事件攻击行为分类,提出一种基于Spark平台的分布式神经网络分类算法（DNNC）。DNNC算法通过提取攻击行为类型的相关属性作为神经网络的输入数据,建立了各属性与攻击类型之间的函数关系并生成分布式神经网络分类模型。实验结果表明,所提出DNNC算法在全球恐怖主义数据库所提供的数据集上,虽然在部分攻击类型上准确率有所下降,但平均准确率比决策树算法提升15.90个百分点,比集成决策树算法提升8.60个百分点。     

基于HMM时间序列预测和混沌模型的DDoS攻击检测方法

分布式拒绝服务（DDoS）攻击是网络环境中最具破坏力的攻击方式之一,现有基于机器学习的攻击检测方法往往直接将某时刻的特征值代入分类器进行分类,没有考虑相邻时刻特征之间的联系,因而导致误报率和漏报率较高。提出一种基于隐马尔科夫模型HMM时间序列预测和混沌模型的DDoS攻击检测方法。针对大规模攻击网络流量的突发性,定义网络流量加权特征NTWF和网络流平均速率NFAR二元组来描述网络流量的特点;然后采用层次聚类算法对训练集进行分类,以获取隐层状态HLS序列,利用NTWF序列和HLS序列对HMM进行监督学习获得状态转移矩阵和混淆矩阵,以预测NTWF序列;最后通过混沌模型分析NTWF序列的预测误差,结合基于NFAR的规则来识别攻击行为。实验结果表明,与同类方法相比,所提方法具有较低的误报率和漏报率。     

基于半监督学习和信息增益率的入侵检测方案

针对现有未知攻击检测方法仅定性选取特征而导致检测精度较低的问题,提出一种基于半监督学习和信息增益率的入侵检测方案.利用目标网络在遭受攻击时反应在底层重要网络流量特征各异的特点,在模型训练阶段,为了克服训练数据集规模有限的问题,采用半监督学习算法利用少量标记数据获得大规模的训练数据集;在模型检测阶段,引入信息增益率定量分析不同特征对检测性能的影响程度,最大程度地保留了特征信息,以提高模型对未知攻击的检测性能.实验结果表明：该方案能够利用少量标记数据定量分析目标网络中未知攻击的重要网络流量特征并进行检测,其针对不同目标网络中未知攻击检测的准确率均达到90%以上.     

基于信任计算的车载命名数据网络安全机制

命名数据网络是一种以内容为中心的网络，将命名数据网络应用于车联网形成车载命名数据网络能够有效解决车联网中传统TCP/IP通信带来的局限性。然而车载命名数据网络同样面临安全风险，尤其是兴趣包洪泛攻击和开关攻击严重影响了车载命名数据网络的信息共享和安全通信。本文针对上述攻击提出一种基于信任计算的车载命名数据网络安全机制（TSSRA），首先通过分析攻击行为对网络的影响，提取识别恶意行为的特征值，然后基于特征值设计一种信任计算方法，通过评估节点的信任值区分恶意行为和合法行为。仿真实验表明，本文提出的安全机制有效抑制能恶意节点的恶意行为，增强网络的安全性，确保网络安全高效的运行。     

基于模拟退火和半监督聚类的入侵检测方法

由于缺少监督数据,传统的基于聚类算法的入侵检测系统存在误报率高、检测率低等问题。针对这种情况,提出基于模拟退火和半监督K均值聚类的入侵检测方法。该方法首先利用少量标记入侵类型的网络数据改进聚类初始化过程,在K均值聚类算法中引入半监督学习,然后利用模拟退火算法跳出局部极值的能力与半监督K均值聚类算法结合以得到全局最优聚类,最后根据标记数据确定聚类类别,并应用于入侵行为的检测。基于KDDCUP99的对比实验表明,该方法利用监督数据和模拟退火算法改进了聚类算法,能够有效提高入侵检测的准确率。     

基于卷积神经网络多源融合的网络安全态势感知模型

为了准确获取整个网络的安全态势，设计了一种包含流量探测、属性提炼、决策引擎、多源融合和态势评估五大核心环节的网络安全态势感知模型。流量探测指，以网络流量探测器和入侵检测探测器为工具对流量进行监测，分别抓取流量基础特征和恶意活动特征；属性提炼指，以准确地提炼核心属性为目的，重点关注能够刻画恶意活动特征的报警信息、报警类别和连接属性；决策引擎指，以属性提炼生成的各探测器的核心属性数据为输入，以卷积神经网络为引擎识别各种攻击；多源融合指，采用指数加权的D-S融合方法有效地融合各决策引擎的输出结果，提升攻击识别率；态势评估指，借助权系数理论有效地量化威胁等级，利用层次化分析方法准确地获取整个网络的安全态势。实验结果表明，不同探测器探测到的数据对各类攻击识别的差异较大，多源融合算法可将攻击识别的准确率提升到92.76%,在准确率指标上优于多数研究成果，准确率的提升有助于层次化网络分析方法更加准确地计算整个网络的安全态势。     

基于相对熵理论的多测度网络异常检测方法

检测率低、误报率高和检测攻击范围不够全面已经成为制约网络异常检测发展的最大障碍,为了提高检测率,降低误报率,扩大检测攻击范围,提出了一种新的网络异常检测方法。首先,对网络流量进行统计分析并引入相对熵理论来表征测度对应的全概率事件;然后,通过加权系数融合多个测度相对熵而得到加权相对熵;最终,以综合的多测度加权相对熵作为网络异常判断的依据。实验数据采用DARPA1999测评数据集,实验结果表明该方法在低误报率的前提下,达到了较高的检测率。     

分布式异构网络恶意攻击取证及预警方法研究

传统的网络恶意攻击取证方法对恶意攻击行为的检查不全面、恶意攻击行为相似度分辨准确性低。为此,提出了一种分布式异构网络恶意攻击取证及预警方法。利用CVSS计算器对网络恶意攻击行为的严重等级进行评估,结合灰关联分析法建立灰关联模型,对评估要素进行量化处理;在此基础上,获取并处理日志、事件、警告和证据信息,建立证据库。根据取证结果,结合TOP-K预警策略实现分布式异构网络恶意攻击的预警和预警信息储存。实验结果表明,所提方法对恶意攻击行为的查全率和恶意攻击行为相似度分辨的准确性较高,且预警反应耗时较短,不仅能够准确检测恶意攻击行为,还能够及时发出警报,有效维持分布式异构网络的安全性。     

基于集成SVM和Bagging的未知恶意流量检测

未知恶意网络流量检测是异常检测领域亟待解决的核心问题之一.从高速网络数据流中获取的流量数据往往具有不平衡性和多变性.虽然在恶意网络流量异常检测特征处理和检测方法方面已存在诸多研究,但这些方法在同时解决数据不平衡性和多变性以及模型检测性能方面仍存在不足.因此,本文针对未知恶意网络流量检测目前存在的困难,提出了一种基于集成SVM和Bagging的未知恶意流量检测模型.首先,针对网络流量数据的不平衡性,提出一种基于Multi-SMOTE过采样的流量处理方法,以提高流量处理后的特征质量;第二,针对网络流量数据分布的多样性,提出一种基于半监督谱聚类的未知流量筛选方法,以实现从具有多样分布的混合流量中筛选出未知流量;最后,基于Bagging思想,训练了集成SVM未知恶意流量检测器.实验结果表明,本文所提出的基于集成SVM与Bagging的未知流量攻击类型检测模型在综合评价(F1分值)上优于目前同类未知恶意流量检测方法,同时在不同数据集上具有较好的泛化能力.     

一种协作式异常流量检测模型

异常网络检测是分析和检测网络中恶意行为的重要手段。如何有效地检测大数据压力下的异常网络流量是一个非常重要的领域,也越来越受到研究者的关注。提出了一种基于协作式的流量检测新模型,可以根据分类器结果修正模型最终输出,提高检测精度,降低误报率。仿真结果表明,与K均值、决策树和随机森林算法相比,该模型具有更好的性能,在正常数据上的检测率为95. 4%,在DoS攻击上的检测率为98. 6%,在探针攻击上的检测率为93. 9%,在U2R攻击上的检测率为56. 1%,在R2L攻击上的检测率为77. 2%。     

一种半监督联合模型下的异常流量检测算法

网络异常通常表现在多维特征中,而当前检测方法局限于一维特征或者多维特征的简单组合,使系统检测率低、误报率高.同时,有监督学习需要大量训练数据,而无监督学习准确率不足.因此,本文提出半监督联合模型(Semi-Supervised Combination,SMC)对数据的多维特征进行检测,通过解决非线性优化问题使联合过程信息损失最小化,较好地处理了噪声与孤立点.半监督学习方式利用少量已标记数据使模型更准确.本文以模糊C均值聚类(Fuzzy C-Means,FCM)作为基本检测器,经过实验验证,在目标误报率下基于SMC模型的异常检测算法的准确率比单个基本检测器提高了10％到20％.     

DCVAE与DPC融合的网络入侵检测模型研究

入侵检测是主动防御网络中攻击行为的技术,以往入侵检测模型因正常网络流量与未知攻击内在特征区分度不足,导致对未知攻击识别率不够高,本文设计基于判别条件变分自编码器与密度峰值聚类算法的入侵检测模型(DCVAE-DPC).利用判别条件变分自编码器能够生成指定类别样本的能力,学习正常网络流量特征的隐空间表示并计算其重建误差,增加其与未知攻击间的特征区分度,并使用密度峰值聚类算法求出正常网络流量重建误差的分布,提高未知攻击识别率.实验结果表明,在NSL-KDD数据集中与当前流行的入侵检测模型相比,模型的分类准确率可以达到97.08%,具有更高的未知攻击检测能力,面对当前复杂网络环境,有更强的入侵检测性能.     

基于深度学习的网络流量异常预测方法

针对网络入侵检测系统（NIDS）能够检测当前系统中存在的网络安全事件,但由于自身的高误报率和识别安全事件产生的时延,无法提前对网络安全事件进行准确率较高的预警功能,严重制约了NIDS的实际应用和未来发展的问题,提出了基于深度学习的网络流量异常预测方法。该方法提出了一种结合深度学习算法中长短期记忆网络和卷积神经网络的预测模型,能够训练得到网络流量数据的时空特征,实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。实验通过使用设计好的神经网络框架对入侵检测系统流量数据集CICIDS2017进行了训练和性能测试,在该方法下流量分类的误报率下降到0.26%,总体准确率达到了99.57%,流量特征预测模型R2的最佳效果达到了0.762。