嵌入式网络攻击特征的有效识别方法研究

嵌入式网络的开放性和自组网性特点导致网络容易受到攻击,影响网络安全,且传统的攻击特征检测识别方法难以对其进行有效检测。提出一种基于攻击特征调频信号建模的嵌入式网络攻击识别方法。进行嵌入式网络攻击信号模型设计,采用线性调频信号检测方法实现对网络攻击特征的识别和检测,考虑时域和频域之间映射值,对攻击检测的虚警门限进行预估,实现网络攻击特征识别算法改进。仿真结果表明,采用该算法能有效实现对嵌入式网络攻击特征的识别,在低信噪比环境下提高对网络攻击特征的检测性能。准确检测概率较高。     

基于主动弹性防御策略的网络控制系统零动态攻击检测

研究了一种适用于零动态攻击的网络控制系统（NCSs）的弹性控制策略,基于控制输入和测量数据设计的隐式虚假数据注入攻击.当网络化控制系统的控制信号受到网络攻击时,根据被动模型的故障检测和隔离方案,发现在攻击过程中,对设备状态变量的零动态攻击的结果是不可检测的,但在攻击结束后会变得明显.对此,利用广义似然比检测器的主动版本给出的信息在线更新卡尔曼滤波器,设计了一种具有快速恢复攻击端后闭环系统行为能力的弹性线性二次高斯控制器.实验结果显示,所提算法明显具有更高的攻击检测质量,并具有更佳的计算效率和内存利用效率,验证了算法有效性.     

基于量子神经网络的网络攻击同源性判定方法

探讨大数据背景下网络攻击同源性的分析方法,为攻击场景还原、攻击定性及攻击者溯源提供依据。提出了一种基于证据链的攻击描述方法,并归纳出各环节代表特异性的关键指纹,进一步构建了相应的网络攻击同源性判定模型,使用编辑距离计算攻击链单一环节之间的特征相似度,通过量子神经网络方法对多个攻击环节的相似性进行算法综合,进而实现网络攻击的同源判定。测试结果表明,该方法能够有效地对网络攻击进行同源性判定,相比基于样本的方法更加准确、可靠。该工作为大数据下提高网络攻击溯源能力及自动化水平探索了一条有效途径。     

基于报警数据融合的智能电网攻击检测方法

智能电网中信息技术的广泛使用为攻击者提供了更多的途径入侵和攻击电力系统,这已成为智能电网安全的最大隐患之一。提出了一种基于异常数据融合的智能电网攻击检测方法,通过入侵检测系统发现信息网络中的异常流量,利用标准化残差方法检测电力系统中的异常量测数据,通过关联信息网络和物理系统的异常报警数据来检测智能电网攻击事件。仿真实验表明该方法可以消除入侵检测与标准化残差检测产生的大量错误报警,显著提高智能电网攻击的检测精度。     

使用交叉熵检测和分类网络异常流量

针对准确识别网络攻击行为的问题,提出了一种基于交叉熵的流量异常检测和分类方法.首先使用流头部特征属性和行为特征属性对DoS攻击、端口扫描和网络扫描等3种常见攻击进行描述,并使用交叉熵来度量各属性上流量的分布变化,建立各攻击的行为特征向量,然后使用指数加权滑动平均控制图方法对多种交叉熵指标进行异常检测得到检测异常向量,最后以检测异常向量和各行为特征向量的相似度来判别攻击类型.针对路由器中Netflow流量的实验结果表明,对于强度较小的攻击,相比香农熵度量法,交叉熵度量法的攻击分类正判率和精确率平均提高了13%和15%,正确率提高了13%.     

基于深度网络模型的网络XSS攻击入侵检测方法

XSS网络攻击是一种在Web应用程序中普遍存在的漏洞,具有较大的危害性.为了提高XSS入侵检测的准确率和效率,提出了一种基于改进Resnet模型的XSS攻击入侵模型.该模型在Resnet的基础上加入了新的池化方法,使得整个网络具有了更好的特征表示能力,从而能更好地对网络攻击进行检测.为了验证所提出的方法的优越性,将其与经典的方法 XSS-Filter以及Resnet模型进行比较,结果表明本文所提出的方法具有较高的准确率和召回率,具有较大的优越性.     

一种基于少量异常标签的SQL注入攻击检测方法

SQL注入攻击通过入侵目标数据库实现对数据的窃取或破坏,危害性极大.SQL注入攻击检测可帮助及时发现潜在的安全威胁,从而有利于数据库安全防护.然而在智能交通系统中,由于其内部的复杂性和SQL注入攻击新变种的不断涌现,可供机器学习模型训练的异常标签样本往往较少,使得现有大多数SQL注入攻击检测方法容易存在模型过拟合和性能退化的问题.针对上述问题,本文综合考虑智能交通系统和SQL注入攻击的特点,设计了一种基于比特编码的SQL注入攻击检测框架.该框架无需预训练词嵌入模型和进行语法规则解析.基于该框架,本文提出基于注意力机制的半监督SQL注入攻击检测模型(ASDM).该模型首先通过重构数据样本,学习样本特征的中心趋势和离散程度等高层次特征,表达特征后验分布和特征偏离程度;接着将该高层次特征与数据编码特征融合,突出不同类别数据间的差异;最后引入注意力机制和残差网络构造检测器输出判定结果,以使模型能够根据重要程度对特征施加不同的关注力度,同时具有较强的泛化能力.实验结果表明：本文方法在数据标签不平衡的情况下,相较于其他SQL注入攻击检测方法具有更优的检测性能;并能够检测未知SQL注入攻击.     

支持高精度告警的入侵检测系统的设计与实现

目前入侵检测系统（IDS）得到了越来越广泛的重视,发展日益迅速。然而,IDS在可用性、易用性方面还存在着较大的问题,其中一个方面表现在IDS提供的告警信息过于简单,基于这些信息用户难以对攻击的特点有全面清晰的认识,从而给IDS的发展带来了困难。本文在对网络攻击进行有效分类的基础上,提出了一种支持高精度告警的入侵检测系统,使得IDS能够将网络攻击的主要特征反馈给用户,从而让用户能够准确全面的了解攻击,及时采取相应的防范措施。     

基于可信度的Android恶意代码多模型协同检测方法

当前,基于机器学习模型的Android恶意代码检测系统存在退化问题。因为恶意代码在不断地快速变异和进化,产生了概念漂移现象,恶意代码的数据分布规律随时间产生变化。概念漂移破坏了机器学习提出的数据分布规律具有稳定性的假设。为了缓解检测模型的退化问题,本文提出基于可信度的支持多模型协同检测的方法,对多个异构模型的预测结果进行可信度和置信度分析,突破了由于模型的异构性而不能相互学习和协同检测的问题,建立了开放的多模型协同检测平台,缓解恶意代码的概念漂移问题。实验表明,多模型协同可以提升检测效果。在对66 000多个Android样本的预测中,SVM模型和随机森林模型各有优劣,协同检测系统能够在保证不低于任一种单模型的基础上对预测效果有所提升。     

高级持续性威胁中攻击特征的分析与检测

针对高级持续性威胁的检测问题, 提出一种基于网络连接特征属性的检测方法. 通过数据采集、 特征提取、 异常检测和实时报警4个步骤, 选取网络连接的12种特征属性, 应用机器学习方法分析属性特征数据集, 建立高级持续性威胁攻击检测模型. 实验结果表明, 该方法对于高级持续性威胁攻击检测性能良好, 检测率较高, 误报率较低.     

基于嵌入分层决策树的电网完整性保护

为了提升系统抗攻击能力以及泛化能力,提出了一种基于支持向量机嵌入分层决策树的多智能体电网抗攻击系统完整性保护方案。首先利用多智能体来增强系统完整性保护的网络弹性,重点是系统的态势感知和自适应能力。进一步将分布式系统完整性保护设置中的数据驱动异常检测问题转化为多分类问题。然后提出了一种支持向量机嵌入分层决策树的有监督学习算法和一种自适应的负荷卸载策略,以提升检测能力,减少时间成本。实验结果表明,所提出的系统完整性保护方案能够检测出电网的异常运行状态,并能够调整其补救措施,以适应各种网络攻击。     

因果网的非稳态流量异常检测系统设计

网络入侵检测中的流量异常检测方法存在着虚警率较高的问题，为此提出了结合因果网的非稳态流量异常检测系统。该系统采用基于发生新事件的先验概率和趋势来评估异常的思想，借助机器学习方法建立非稳态正常模型，并在由此得到的基本异常事件集的基础上，采用因果网进行进一步数据挖掘，给出了综合系统的原型设计。     

神经网络在入侵检测中的应用

当前的入侵检测技术主要有基于规则的误用检测和基于统计的异常检测。提出一个基于神经网络的入侵检测系统模型，利用神经网络的自学习、自适应的特性，快速识别和对噪声数据的处理能力，使入侵检测系统能够较好地识别新的攻击。     

一种基于多分类器协同训练的网络异常检测方法

基于机器学习的网络异常检测方法是入侵检测领域的重要研究内容.传统的机器学习方法需要大量的已标记样本对分类器进行训练,然而已标记样本通常较难获取,导致分类器训练困难;此外单分类器训练面临难以消除的分类偏向性和检测孔洞.针对上述问题,本文提出了一种基于多分类器协同训练的异常检测方法MCAD,该方法利用少量的已标记样本和大量的未标记样本对多个分类器进行协同训练,以减少分类的偏向性和检测孔洞.对比实验采用经典的网络异常检测数据集KDD CUP99对MCAD的异常检测性能进行验证。实验结果表明,MCAD有效地降低了检测器训练代价,提高了网络异常检测性能.     

基于共享联结三元组卷积神经网络的枪弹膛线痕迹快速匹配方法

针对传统通过激光检测提取膛线线形痕迹信号时枪弹痕迹检测精度不高且操作复杂的问题,提出了新型提取和处理方法。采用多尺度配准、弹性形状度量与卷积神经网络技术,基于多模式弹性驱动自适应控制方法,建立了试件末端位置和姿态参数分布模型,采用孤立森林算法检测信号进行异常处理,利用变尺度形态滤波算法去除非细小特征,引入平方速度函数优化弹性形状度量算法,完成曲线轮廓嵌入层映射;在膛线线形匹配部分,建立了适用于痕迹特征的优化参数共享联结三元组卷积神经网络模型,通过嵌入层相似度计算和最小化三重损失函数训练该网络至收敛;最后进行了不同方法的相似度匹配对比实验。结果表明,与传统的检测方法相比,新方法解决了传统枪弹痕迹检测中面临的精度与操作性问题,保证检测结果的稳定性,且成本大大降低。在膛线线形痕迹提取中采用多模式弹性驱动自适应控制方法和三元组卷积神经网络模型,可为枪弹痕迹检测提供一种新的可行方法和思路。     

基于组合神经网络的启发式工控系统异常检测模型

为了提高工控系统入侵的检测率,讨论了传统工控入侵检测技术的原理,并从信息论的观点进行了对比研究.通过对工控系统特异性及其攻击手法的建模,归纳出工控攻击在协议栈、统计特性、通信行为等方面表现出的动态和静态指纹,基于一种新的异构信息的抽象方法,提出并实现了一个基于组合神经网络的启发式工控系统异常检测模型.测试结果表明该检测模型运行高效,相比一般智能方法检测结果更为准确.     

多跳D2D组网下基于数据驱动的配电网在线异常检测

随着配电网数据信息的急剧增长,为了保证配电网供电可靠性,在配电网和基站间建立多跳D2D网络进行数据传输,提出多跳D2D组网下基于数据驱动的配电网在线异常检测方法。因配电网中每个时刻都会产生新的测量数据,提出一种基于一类支持向量机的配电网运行状态在线检测算法,该算法可根据每个时间周期智能电表上报的用电数据更新模型参数,实时推测配电网当前的运行状态。为了保证用电数据的正常传输,提出基于双边主成分分析的在线流量监测方法监督多跳D2D组网的流量状态。通过仿真实例验证,证明了提出的基于数据驱动的配电网在线异常检测算法可在提高检测速率和精确度的同时节约大量的计算时间和存储空间。     

基于BP神经网络的入侵检测系统的特征选择

随着各种入侵和攻击网络工具的出现,入侵检测成为网络管理的关键组成部分。特征选择能够有效地提高机器学习与规则提取算法性能。本文设计了一种基于遗传神经网络的入侵检测系统,采用基于多种改进的遗传算法特征选择方法,实验结果表明不同改进的遗传算法特征选择对BP神经网络的分类正确率有一定的影响。     

一种基于少样本且不均衡的网络攻击流量检测系统

为解决网络攻击流量检测中使用的有监督学习方法严重依赖标签数据规模的问题,针对一种少样本且不均衡的攻击流量检测场景,即训练数据仅包含少量蜜罐捕获的攻击流量且无正常流量,设计了一个攻击流量检测系统,并构建了基于孪生网络和深度学习卷积神经网络(CNN)的网络攻击流量检测模型(CNN-Siamese),以实现少样本且不均衡的攻击流量检测目的;随后为了解决CNN-Simaese在训练样本对构造采样时造成的预测不稳定的问题,结合迁移学习的思路,构建了基于预训练的检测模型(AE-CNN-Siamese);此外,对孪生网络中常用的对比损失函数进行了改进. 实验结果表明:CNN-Siamese可以准确地检测攻击流量,与CNN、CNN-SVM相比,在漏报率无明显差距情况下,可将误报率从30%降低至2%;AE-CNN-Siamese的预测结果比CNN-Siamese更稳定;改进后的损失函数提高了模型的收敛速度,加速了模型训练.     

基于模糊聚类的多类簇归属电力实体行为异常检测算法

针对数字化主动电网中电力实体行为复杂化、攻击手段隐蔽化等问题,提出了一种基于模糊聚类的多类别归属异常检测算法。首先,对电力实体行为相似性的度量方式进行优化,并基于优化后的度量方法构建模糊聚类算法,通过多次迭代得到实体行为对应各类别的隶属度矩阵;其次,根据类别软划分隶属度矩阵,分别计算实体在各个类别内的近邻距离、近邻密度与近邻相对异常因子等参数;最后,分析实体在各类簇内的相对异常情况,判断该电力实体行为是否属于异常行为。结果表明,与LOF,K-Means和Random Forest算法相比,新方法具有更高的异常行为检出数量和更优的异常检测评价指标,解决了传统异常检测算法样本评价角度单一的问题,进一步提高了数字化主动电网抵御未知威胁的能力。