基于流量行为图的攻击检测方法

传统基于流的攻击检测无法完全捕获网络通信模式,难以对网络中的攻击事件进行有效检测,而流量行为图中包含的信息可以有效反映主机的真实情况。文章针对多类型网络攻击检测问题,提出了基于流量行为图的攻击检测方法,实现了基于流量行为图的攻击检测。检测方法基于聚类和生成学习模型,包含两个阶段,第一阶段通过聚类算法尽可能地过滤良性节点,第二阶段应用生成学习模型检测多种不同攻击事件。在公开数据集上的实验结果表明,文章提出的攻击检测方法可以有效检测出网络中存在的多种不同攻击事件。此外,系统使用基于Apache Spark的分布式处理框架,可以有效进行大规模数据处理。     

基于CNN_BiLSTM网络的入侵检测方法

网络攻击事件频发,正确高效地检测攻击行为对网络安全至关重要.该方法基于一维卷积神经网络和双向长短期记忆网络引入自注意力机制来检测恶意行为.首先借助随机森林来选择重要的特征作为模型输入以减少输入数据的冗余问题,之后利用一维卷积神经网络和双向长短期记忆网络分别提取空间特征和时间特征,将二者提取的特征"并联"得到融合特征,为...     

基于机器学习的恶意文档识别工具设计与实现北大核心CSCD

随着网络化、信息化的程度进一步提高,高级持续性威胁(AdvancedPersistent Threat,APT)事件不断增多,给国家、企业的安全发展带来了严重威胁和巨大经济损失。APT攻击通过定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等一系列步骤对特定目标进行长期持续的网络攻击。而在单点攻击突破阶段,最常用的网络攻击技术手段是采用植入远程木马的恶意文档,所以有效检测和识别恶意文档十分必要。文章在对现状进行充分调研后,提出一种基于机器学习的恶意文档检测方法。通过结合虚拟沙箱对未知文档进行动态行为分析,设计并实现了一种恶意文档识别工具。实验证明,该工具基于机器学习方式,可以高效处理和识别大规模的恶意文档文件。     

基于数据世系的微博信息管理与检索算法研究

在微博平台中用户的消息以流的形式按照时间顺序到达系统,对微博数据流的有效管理可以及时地响应用户的查询操作。基于数据库的数据世系思想,提出了一种基于数据世系的微博信息管理方法。首先,根据事件的产生、发展以及变化,将同一社会事件包含的消息定义为数据世系;其次,将微博消息流划分为不同的数据世系,并根据新消息动态地维护数据世系集合;最后,应用数据世系中的文本消息响应用户的查询。实验表明,基于数据世系的微博信息管理方法使用的内存少,运行效率高,可用于微博消息流的实时处理及查询响应工作。     

软件交互行为的可信性分析与态势预测研究

研究现代分布式软件系统中交互实体的行为可信性问题,关注运行期意图、情景、行为和行为效应之间的关系,采用先进的统计机器学习工具分析行为踪迹规律,提出了一个新的软件行为分析与态势预测方法.针对松散聚合的交互实体间可能产生新的交互事件和行为模式的问题,本文用分层Dirichlet过程和无限隐Markov模型对被监测的交互接口数据进行聚类确定未知交互事件,用含有未知事件的序列进行行为模式的半监督学习,由管理者将其添加到规则与知识库中.在确定未知事件和行为模式时,用Beam抽样方法较其他方法(如Gibbs抽样)有更高的数据抽样和推理效率.当知识库的行为模式达到一定规模时,系统便可以无监督地对交互行为进行分析和预测.本文用HMM的Viterbi算法分析当前交互事件的最佳序列,从而确定当前交互行为的善恶,对恶意行为及时报警,对非恶意行为的后续趋势进行主动预测.通过仿真实验证实了该方法在软件行为分析与预测上具有独特的优势.     

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。     

基于信任的网络群体异常行为发现

现今大规模网络群体异常事件往往由多个复杂安全事件融合,且这些安全事件之间隐藏着社会化利益与联系,表现出典型的群体性与控制性.对恶意网络群体事件的感知与响应是网络安全管理的重要任务之一.传统的异常检测机制与基于偶图模型的群体异常行为发现方法均未深入分析这些恶意网络行为潜在的社会化关系,且没有考虑交互过程对节点关系的影响.基于此,文中提出一种基于信任的网络群体异常行为发现模型.该模型首先使用网络交互拓扑信息建立网络节点间的信任矩阵;进而结合直接信任度和相关信任度计算网络节点间的相似度,并通过松弛谱聚类算法中的约束条件,增强类数目的自动识别能力,提高节点聚类准确性.实验表明该模型交互能够有效感知网络中的分布式拒绝服务攻击、蠕虫与僵尸网络的异常行为,并对潜伏期内的安全事件行为有较高识别度,同时比基于偶图的行为分类模型具有更高的准确性.     

一种对等网络信誉系统的恶意节点检测方法

提出了一个基于超级节点的对等网络信誉系统。系统分别计算节点的交互信誉度和反馈信誉度,能客观准确地评价节点交互过程,有效检测和打击节点的恶意交互行为和虚假反馈行为,使得规范节点的信誉值不断提升,更容易被选择成为交互对象,以此显著提高了网络的整体性能。     

数据挖掘技术在网络安全检测中的应用价值

在网络运行中,经常出现由于恶意网络攻击行为、网络配置失误等引起的异常网络流量,这些偏离正常范围的异常流量会直接对整个网络服务质量造成影响,导致网络瘫痪,因此在网络运行时,进行安全检测并及时提供预警信息对保障网络安全正常运行十分重要。本文在介绍数据额挖掘技术的基础上,对利用挖掘领域中的隐马尔科夫模型建立基于异常检测的入侵检测系统进行了分析,并通过仿真实验验证了这一系统的可靠性,论述了数据挖掘技术在网络安全检测中的应用价值。     

基于超图神经网络的恶意流量分类模型

随着网络的普及和依赖程度的不断增加,恶意流量的泛滥已经成为网络安全领域的严重挑战。在这个数字时代,网络攻击者不断寻找新的方式来侵入系统、窃取数据和破坏网络服务。开发更有效的入侵检测系统,及时发现并应对恶意流量,可以应对网络攻击的持续威胁,极大地减少网络攻击带来的损失。然而现有的恶意流量分类方法存在一些限制,其中之一是过度依赖对数据特征的选择。为了提高恶意流量分类的效果,提出了一种创新的方法,即基于超图神经网络的恶意流量分类模型。这一模型的核心思想是将流量数据表示为超图结构,并利用超图神经网络（HGNN,hypergraph neural network）来捕获流量的空间特征。HGNN能够更全面地考虑流量数据之间的关系,从而更准确地表征恶意流量的特征。此外,为了处理流量数据的时间特征,引入了循环神经网络（RNN,recurrent neural network）,进一步提高了分类模型的性能。最终,提取的时空特征被用于进行恶意流量分类,从而帮助检测网络中的潜在威胁。通过一系列消融实验,验证了HGNN+RNN模型的有效性,证明其能够高效提取流量的时空特征,从而改善了恶意流量的分类性能。在3个...     

基于PSO-KM聚类分析的通信网络恶意攻击代码检测方法

恶意代码的快速发展严重影响到网络信息安全,传统恶意代码检测方法对网络行为特征划分不明确,导致恶意代码检测的结果不够精准,研究基于PSO-KM聚类分析的通信网络恶意攻击代码检测方法。分析通信网络中恶意攻击代码的具体内容,从网络层流动轨迹入手提取网络行为,在MFAB-NB框架内确定行为特征。通过归一化算法选择初始处理中心,将分类的通信网络行为特征进行归一化处理,判断攻击速度和位置。实时跟进通信网络数据传输全过程,应用适应度函数寻求恶意代码更新最优解。基于PSO-KM聚类分析技术构建恶意代码数据特征集合,利用小批量计算方式分配特征聚类权重,以加权平均值作为分配依据检测恶意攻击代码,实现检测方法设计。实验结果表明：在本文方法应用下对恶意攻击代码检测的正确识别率可以达到99%以上,误报率可以控制在0.5%之内,具有应用价值。     

分布式异构网络恶意攻击取证及预警方法研究

传统的网络恶意攻击取证方法对恶意攻击行为的检查不全面、恶意攻击行为相似度分辨准确性低。为此,提出了一种分布式异构网络恶意攻击取证及预警方法。利用CVSS计算器对网络恶意攻击行为的严重等级进行评估,结合灰关联分析法建立灰关联模型,对评估要素进行量化处理;在此基础上,获取并处理日志、事件、警告和证据信息,建立证据库。根据取证结果,结合TOP-K预警策略实现分布式异构网络恶意攻击的预警和预警信息储存。实验结果表明,所提方法对恶意攻击行为的查全率和恶意攻击行为相似度分辨的准确性较高,且预警反应耗时较短,不仅能够准确检测恶意攻击行为,还能够及时发出警报,有效维持分布式异构网络的安全性。     

基于特征组合的Powershell恶意代码检测方法

近年来,Powershell由于其易用性强、隐蔽性高的特点被广泛应用于APT攻击中,传统的基于人工特征提取和机器学习方法的恶意代码检测技术在Powershell恶意代码检测中越来越难以有效.本文提出了一种基于随机森林特征组合和深度学习的Powershell恶意代码检测方法.该方法使用随机森林生成更好表征原始数据的新特征...     

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元（BGRU）建立恶意代码检测模型,并在含有12 170个恶意代码样本和5 983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。     

基于贝叶斯网络的Android恶意行为检测方法

Android操作系统是市场占有率最高的移动操作系统,基于Android平台的恶意软件也呈现爆发式的增长,而目前仍然没有有效的手段进行Android恶意行为的检测,通过分析Android恶意行为的特点,采用基于贝叶斯网络的机器学习算法进行Android恶意行为的检测,通过静态分析的方法进行Android文件静态特征的提取,将Android恶意应用的静态分析与贝叶斯网络相结合,最后通过使用提出的方法构建贝叶斯网络模型,通过实验验证了提出的Android恶意行为检测模型的有效性。     

WSN中一种新的基于重复博弈的入侵检测研究

当物联网中存在攻击节点时, 目前的研究方法对其无约束作用。为了解决这一问题, 提出了一种带惩罚机制的基于重复博弈的入侵检测模型。首先分析节点的本次攻击行为对后续收益的影响, 在此基础上建立了一种惩罚机制, 通过这种机制, 节点选择攻击的概率将大大降低; 其次结合模型分析了节点对将来利益的重视程度, 以及入侵检测率对结果的影响。仿真结果表明, 当网络中存在攻击节点时, 该模型能有效遏制节点攻击。     

基于AEC的恶意代码检测系统的设计与实现

针对现有恶意代码检测技术的不足,提出了能够有效检测复杂攻击的活动事件关联（AEC）分析技术,设计并实现了一个基于AEC的全新的检测系统。该系统结合误用与异常检测技术,采用AEC的思想将网络中的单个事件进行分类,对每类事件进行纵向关联分析。同时结合一段时间内的数据流量统计结果,最终更准确地推断出可疑的攻击并在它们完成攻击前阻止,向网络管理员发出有意义的准确的报警。     

SDN环境下的LDoS攻击检测与防御技术

低速率拒绝服务(LDoS)攻击是一种新型的网络攻击方式,其特点是攻击成本低,隐蔽性强。作为一种新型的网络架构,软件定义网络(SDN)同样面临着LDoS攻击的威胁。但SDN网络的控制与转发分离、网络行为可编程等特点又为LDoS攻击的检测和防御提供了新的思路。提出了一种基于OpenFlow协议的LDoS攻击检测和防御方法。通过对每条OpenFlow数据流的速率单独进行统计,并利用信号检测中的双滑动窗口法实现对攻击流量的检测,一旦检测到攻击流量,控制器便可以通过下发流表的方式实现对攻击行为的实时防御。实验表明,该方法能够有效检测出LDoS攻击,并能够在较短时间内实现对攻击行为的防御。     

一种基于数据流分析的网络行为检测

为了更好地对网络行为进行分析, 提出了一种基于数据流分析的网络行为检测方法。通过分析网络系统体系架构, 对网络行为进行形式化建模, 并针对网络行为特点提出了一种基于与或图的行为描述方法, 最终设计实现了基于数据流分析的网络行为检测算法。实验证明该方法能在多项式时间内完成数据流事件中的关系分析, 而且与其他算法相比, 能有效提高网络行为检测的查准率。     

基于“In-VM”思想的内核恶意代码行为分析方法

随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本文针对该缺陷,利用虚拟机的隔离特点,提出了一种基于"In-VM"思想的内核模块恶意行为分析方法,实验表明该方法能够分析内核模块的系统函数调用和内核数据操作行为。