基于敏感特征的网络钓鱼网站检测方法

网络钓鱼(phishing)是一种在线欺诈行为,普遍存在于电子商务和电子金融中。将黑白名单方法和异常特征检测方法相结合,针对网络钓鱼网站URL异常和页面身份异常特点提出基于敏感特征的网络钓鱼网站检测方法——PhishDetector。使用黑白名单技术对URL进行拦截,对于名单中不存在的URL,提取其敏感特征,然后使用线性分类器判断该网站是否为网络钓鱼网站。实验结果表明,基于敏感特征的网络钓鱼网站检测方法,提高了网络钓鱼网站检测的正确率,显著降低了误判率。     

基于Logistic回归和XGBoost的钓鱼网站检测方法

为兼顾钓鱼网站检测的速度和准确率,提出一种基于Logistic回归和XGBoost的钓鱼网站检测方法.根据网页的URL提取HTML特征、URL特征和基于TF-IDF的文本向量特征,结合Logistic回归将高维和稀疏的文本特征转换为概率特征.基于以上融合特征,构建了XGBoost分类模型,给出了方法的时间复杂度分析,采集了真实数据作为实验数据集.实验结果表明,Logistic回归方法降低了融合特征的维度,检测速度优于直接融合方法;融合特征方法比单方面特征方法含有更多有效的信息,可供分类器进行学习,检测精度高于单方面特征方法,精确度达到96.67%,召回率为96.6%.     

支持页面特征伪造识别的钓鱼网页检测方法

钓鱼网站是指伪装成合法网站,窃取用户提交的账号、密码等私密信息的网站。基于页面特征识别的钓鱼网站检测方法具有较好的识别准确性,但现有方法对页面特征伪造的情况识别较弱,容易漏判。首先分析了大量钓鱼网站的页面代码,总结了常见的9种页面特征伪造方式,并针对性地提出了支持页面特征伪造识别的钓鱼网站检测方法。该方法对页面渲染后再做特征提取识别,在页面渲染过程中检查URL地址跳转的伪装,通过直接操纵DOM提取iframe内嵌页面的内容,去除页面所有隐藏元素以防止钓鱼攻击者伪造页面关键词。测试结果表明该方法能够去除多种伪装,完成页面特征的准确提取,提高检测的准确率。     

网络钓鱼邮件分析系统的设计与实现

随着网络技术的发展,网络犯罪应运而生。网络钓鱼活动日益加剧,网络钓鱼攻击成为Internet上最主要的网络诈骗方式,对网络安全和电子商务的正常运行构成了极大的威胁。通过给用户发送电子邮件,把用户引到精心设计好的钓鱼网站上,实施诈骗活动,是钓鱼者常用的手段。对网络钓鱼邮件的特点进行分析,基于这些特点设计出网络钓鱼邮件分析系统,该系统通过提取邮件的内容,对其进行分析,提取出可疑的URL,从而过滤出具有网络钓鱼特征的邮件,有效屏蔽了网络钓鱼网站。     

基于属性降维的钓鱼网站检测方法

随着对钓鱼网站分析刻画的不断完善,使得钓鱼网站检测特征呈现高维化特点。属性维度的增加以及数据量的增长,会造成检测计算复杂度呈几何倍数扩大,导致检测时间复杂度高、占用资源大和检测效率低。针对多属性的钓鱼网站检测,设计了一种基于属性降维的钓鱼网站检测方法。该方法使用信息增益方法对原始数据进行特征选择,筛除可能存在的冗余和噪声数据信息;根据不同属性间的互信息计算属性相关性矩阵,利用属性相关性矩阵作为权值参与加权主成分分析;根据得到的降维后新特征数据通过监督学习算法构建钓鱼网站检测模型。实验表明,该方法可以有效降低原始数据中冗余和噪声属性的干扰,能够有效检测出复杂网络环境中的钓鱼网站,同时具有较高的稳定性。     

基于文本特征分析的钓鱼邮件检测

提出了一种基于邮件文本特征的钓鱼邮件检测方法。首先利用邮件解析器将邮件中非文本部分内容剔除,然后提取邮件剩余部分中存在的网站链接及其他内容,并在此基础上提取10种特征。针对这些特征,利用机器学习方法对其进行训练和预测,将邮件分类为普通邮件和钓鱼邮件。我们改进了以往一些针对网站链接分析的检测方法,并结合钓鱼邮件发展的新趋势,提出了6种新的特征。实验证明,本方法结合了新的钓鱼邮件特征,有效地提高了钓鱼邮件检测的召回率以及精准率,同时误判率有所降低。并且,本方法稍加改进以后就能用于钓鱼网站的检测。     

基于改进Stacking策略的钓鱼网站检测研究

针对目前大多数钓鱼网站检测技术准确率低、计算资源消耗大和检测不及时等问题,本文提出一种基于改进Stacking策略的钓鱼网站检测方法。该方法将多个分类表现优异的基学习器通过Stacking策略集成为一个高性能模型,并且把该Stacking算法第一级的输入特征与预测结果同时作为第二级的输入特征,充分发挥各模型精度高、速度快等优势,从而进一步提高模型性能。实验结果表明,与传统的机器学习钓鱼网站检测技术相比,在10万级数据集上,此集成学习算法在多个指标上都表现出更好的性能,精确率达到了97.82%,F₁值达到97.54%,可以有效地检测钓鱼网站。     

基于SVM-RFE的钓鱼网页检测方法研究

针对现有钓鱼网页检测方法存在的不足,基于后向选择算法,在信息获取、特征提取、分类器训练及检测疑似网络钓鱼网页等过程进行了优化.根据特征之间的相互关系划分等级空间,借助支持向量机回归特征消除的思想,提出了基于支持向量机的回归特征消除(SVM-RFE)对钓鱼网页进行检测的思路,设计出一种改进的钓鱼网页检测方法.最后对比不同特征维度在漏报率、误报率、识别率方面的差异,分析检测的有效性.实验结果表明:实际应用中可通过该方法准确有效地选定最优特征.     

基于SVM的金融类钓鱼网页检测方法

针对金融服务领域面临的严峻信息安全挑战,以及现有钓鱼网页检测方法的不足,提出一种基于支持向量机(support vector machine,SVM)的金融类钓鱼网页检测方法.采用网页渲染去除常见的页面特征伪装,提取统一资源定位符(uniform resource locator,URL)信息特征、页面文本特征、页面表单特征以及页面logo图像特征,构建特征向量训练SVM分类器模型,实现对金融类钓鱼网页的识别.在特征提取过程中,利用适合中文的多模式匹配算法AC_SC(AC suitable for chinese)提高文本匹配效率,并采用加速鲁棒特征(speeded-up robust feature,SURF)算法实现logo图像的特征提取与匹配.多方法实验结果对比表明,该方法针对性更强,能达到99.1％的检测准确率、低于0.86％的误报率.     

基于 eBPF 与 LSTM 的 DDoS 攻击检测系统

针对网络异常流量检测中的 DDoS 攻击检测,以往的基于深度学习的解决方案都是在脱离系统实体的数据集上构建模型和优化参数,提出并实现一种使用 Linux 内核观测技术 eBPF(extended Berkeley Packet Filter)与深度学习技术结合的基于网络流量特征分析的网络异常流量检测系统。 系统采用 eBPF 直接从 Linux 内核网络栈最底层高效地采集网络流量特征数据,然后使用基于长短记忆网络 LSTM(Long Short Term Memory)构建的深度学习系统检测网络异常流量。 在具体实现中,系统首先通过 Linux 内核网络栈最底层 XDP(eXpress Data Path)中的 eBPF程序挂载点采集网络流量特征数据。 之后,使用 LSTM 构建神经网络模型和预测分类。 将系统应用于一个仿真实验网络环境得出的实验结果表明,系统的识别精确度达到 97. 9%,同时,在使用该系统的情况下,网络中的 TCP 与 UDP 通信的吞吐率仅平均下降 8. 53%。 结果表明:系统对网络通信影响较低,同时也实现了较好的检测效果,具有可用性,为网络异常流量检测提供了一种新的解决方法。     

基于网页结构与语言特征的垃圾网页链接检测方法

现有的垃圾网站检测方法主要针对自建的垃圾网站，对于通过入侵正常网站注入垃圾网络链接的检测效率不高.本文提出一种基于网页结构与文本多维特征的检测框架，该框架将网页进行分块处理.通过计算优势率的方法提取内容特征，根据标签数、属性键和属性值利用独热率的方法提取结构特征.使用机器学习算法进行训练并得到检测模型，进而有效地检测垃圾网站链接.同时，将本文的检测方法与基于内容分析的检测算法和黑名单匹配算法进行对比，本文提出的方法检测准确率最高有13%的提高.     

钓鱼网站的鉴别方法与防范策略研究

随着钓鱼网站的活动日渐猖獗,钓鱼网站的数量逐渐激增,严重地影响我国电子商务、网上银行的发展,影响人们对互联网应用的信心,危害广大网络用户利益。钓鱼网站的影响和危害程度已经远远超过木马和病毒,成为我国互联网最大的安全威胁。因此,弄清钓鱼网站本质特征和主要类型、了解钓鱼网站的传播途径和危害方法,掌握钓鱼网站的鉴别方法和防范策略,以及遭遇钓鱼网站后的补救措施,显得非常必要。     

一种面向网络行为因果关联的攻击检测方法

为了能在攻击目标受损之前检测到攻击事件,提出了一种面向网络行为因果关联的攻击检测方法．基于SNMPMIB数据,根据攻击目标的异常行为,利用GCT从检测变量中挖掘出与异常变量存在整体行为关联的基本攻击变量,然后针对异常行为特征,再次利用GCT从基本攻击变量中挖掘出与异常变量存在局部行为关联的攻击变量,最后根据攻击变量和异常变量之间的因果关系,构建面向攻击方检测的攻击关联规则．在Trin00 UDP Flood检测实验中,所提方法在挖掘出攻击变量udp Out Datagrams上取得了满意的检测效果．     

利用残差分析的网络异常流量检测方法

针对网络异常流量检测中大数据小异常造成的难题,提出了一种新的基于残差分析的网络异常流量检测方法。从多个角度提取网络流量的特征属性,以准确刻画正常行为和异常行为之间的差异性。利用提取的特征属性构建属性矩阵,采用流之间的相似性构建邻接矩阵。使用属性矩阵和邻接矩阵构建网络异常检测模型,采用CUR矩阵分解方法重构属性矩阵得到主模式,对属性矩阵和重构的属性矩阵进行残差计算进而获得残差矩阵。对残差矩阵中的每一个流计算其残差,根据每个流的残差和预设阈值进行异常判定。采集了西安交通大学校园网流量数据进行实验,实验结果表明:所提方法在不需要任何先验知识的情况下能够使异常检测率达到90%以上;与其他异常检测方法相比,所提方法不仅具有较高的检测率,而且能够实现异常源定位。     

基于注意力机制多特征融合与文本情感分析的日志异常检测方法

现有的基于深度学习和神经网络的日志异常检测方法通常存在语义信息提取不完整、依赖日志序列构建和依赖日志解析器等问题.基于注意力机制多特征融合和文本情感分析技术,提出了一种日志异常检测方法 .该方法首先采用词嵌入方法将日志文本向量化以获取日志消息的词向量表示,接着将词向量输入到由双向门控循环单元网络和卷积神经网络组成的特征提取层中分别提取日志消息的上下文依赖特征和局部依赖特征,使用注意力机制分别加强两种特征中的关键信息,增强模型识别关键信息的能力.使用基于注意力机制的特征融合层为两种特征赋予不同权重并加权求和后输入由全连接层构成的输出层中,实现日志消息的情感极性分类,达到日志异常检测的目的 .在BGL公开数据集上的实验结果表明,该模型的分类准确率和F1值分别达到了96.36%和98.06%,与同类日志异常检测模型相比有不同程度的提升,从而证明了日志中的语义情感信息有助于异常检测效果的提升,并且经过实验证明了使用注意力机制的模型可以进一步提高文本情感分类效果,进而提升日志异常检测的准确率.     

多源流量特征分析方法及其在异常检测中的应用

针对不同的网络攻击会造成不同流量特征的变化,单一的网络流量特征难以全面检测网络异常的缺陷,提出了一种多源流量特征分析方法.通过选取一组网络流测度,分析其分布特征并采用雷尼信息熵方法进行多源流量特征融合以实现对网络异常行为的全面检测.基于真实网络流量的实验结果表明,提出的网络异常行为检测方法实现简单、计算量小、检测精度高,可适用于大规模网络,能有效检测已知及未知异常.     

利用URL-Key进行查询分类

针对查询分类问题,借助互联网中人工组织的分类网站领域URL,利用URL-key在各个类别中使用的频度,提出基于方差的领域URL-key识别方法,利用机器翻译、拼音翻译和搜索结果反馈等技术对URL-key进行过滤,构建领域URL-key。然后结合伪相关反馈技术,选取URL-key为特征,构建URL-key向量,利用SVM对查询串进行分类。实验结果表明,该方法不仅F值比对比方法提高7%,而且资源的使用也远远小于对比方法,提高了系统的时效性。     

数据挖掘技术在Web网站安全中的应用

Web网站的安全是影响商务网站发展的一个十分重要的问题。介绍了数据挖掘技术及其在Web网站安全中的应用。从三个层次讨论Web网站的安全:基于数据挖掘技术的网络入侵检测,实现网站低层网络级安全;在系统用户级实现异常检测,防止系统用户的越权行为;对Web日志进行数据挖掘,发现Web用户的异常行为,实现高层安全。     

基于模板检测的违法网站识别方法

为高效识别违法网站,该文提出了一种新方法。从HTTP POST提取特征值,计算网站间相似度,对网站进行聚类并抽取违法网站模板用来识别违法网站。应用图挖掘技术过滤合法网站,提升识别效率。以赌博网站为例,在真实环境中对该方法进行了大规模实验和评估。实验结果表明:该方法检测出赌博网站的精确度为1;与URL、HTML和语义特征相比,HTTP POST特征值的F-Measure最好;应用图挖掘技术可以有效过滤合法网站,提高整个流程运行效率20%。     

基于MeAEG-Net的异常流量检测方法研究

异常流量检测现有方法大都是基于有监督的学习,在现实生活中获取并标记异常流量数据样本是极为困难的,存在诸多限制.此外,由于网络异常数据的多样性和复杂性,各种检测方法的自适应性较差,对新出现的异常流量难以判断.针对上述问题,本文设计了一个基于生成对抗网络和记忆增强模块的半监督异常流量检测框架MeAEG-Net（Memory Augment Based on Generative Adversarial Network）,通过只训练正常流量样本数据,比较生成器模块输入流量底层特征的重构误差来达到检测异常的目的.在模型中使用生成对抗网络来更好地训练生成器,生成器采用自编码器加解码器的结构来解决自编码器易受噪声影响的问题,并在自编码器子网络中添加记忆增强模块来削弱生成器模块的泛化能力,增大异常流量的重构误差.实验证明,本文提出的方法能在只学习正常流量数据样本的前提下达到很好的异常流量检测效果.