基于自注意力机制的网络流量异常检测方法

网络中异常流量的有效检测对网络安全至关重要.以机器学习方法为主的异常流量检测技术,对流量数据采用特征选择方法进行降维并提取最优特征,但容易忽略数据特征之间的关联性,存在异常流量的检测率低、误报率高等问题.为了提高异常流量检测性能,论文在提取流量数据特征的过程中引入自注意力机制进行相关性学习,并结合深度卷积神经网络提出一种有效的网络流量异常检测模型.实验结果表明：通过引入自注意力机制,论文所提出的检测方法能够提取更准确的流量特征,并使得异常流量检测率高、误报率低.     

利用残差分析的网络异常流量检测方法

针对网络异常流量检测中大数据小异常造成的难题,提出了一种新的基于残差分析的网络异常流量检测方法。从多个角度提取网络流量的特征属性,以准确刻画正常行为和异常行为之间的差异性。利用提取的特征属性构建属性矩阵,采用流之间的相似性构建邻接矩阵。使用属性矩阵和邻接矩阵构建网络异常检测模型,采用CUR矩阵分解方法重构属性矩阵得到主模式,对属性矩阵和重构的属性矩阵进行残差计算进而获得残差矩阵。对残差矩阵中的每一个流计算其残差,根据每个流的残差和预设阈值进行异常判定。采集了西安交通大学校园网流量数据进行实验,实验结果表明:所提方法在不需要任何先验知识的情况下能够使异常检测率达到90%以上;与其他异常检测方法相比,所提方法不仅具有较高的检测率,而且能够实现异常源定位。     

融合残差网络的CR-BiGRU入侵检测模型

针对当前网络攻击的复杂性和多样性,传统模型提取流量特征不足且准确率较低的问题,提出一种融合残差网络改进的CR-BiGRU混合模型的网络入侵检测方法.首先将数据集进行归一化以及独热编码处理,然后利用基于残差网络的卷积神经网络提取空间特征,最后使用双向门控神经网络提取时间特征,完成模型的训练并实现异常网络的入侵检测.为表明模型的适用性,基于数据集NSL-KDD和UNSW-NB15进行对比分析实验,结果表明,该方法基于上述数据集准确率分别达99.40%和83.79%,明显优于经典网络入侵检测算法,能有效提升检测网络入侵的精度,从而更好保证网络数据的通信安全.     

基于深度强化学习的工业网络入侵检测研究

为了有效识别工业网络环境中由多条异常数据共同组合的新型攻击,提出了一种基于深度强化学习的融合模型DQN-LSTM.该模型将流量数据的空间特征和时序特征相结合,展开异常检测.在公开的工控网络天然气工厂数据集上进行实验,DQN-LSTM模型在准确率和F1值上与SVM、CNN、LSTM、DQN等方法相比,本文模型的综合性能更好.     

基于eBPF与LSTM的DDoS攻击检测系统

针对网络异常流量检测中的DDoS攻击检测,以往的基于深度学习的解决方案都是在脱离系统实体的数据集上构建模型和优化参数,提出并实现一种使用Linux内核观测技术eBPF(extended Berkeley Packet Filter)与深度学习技术结合的基于网络流量特征分析的网络异常流量检测系统。系统采用eBPF直接从Linux内核网络栈最底层高效地采集网络流量特征数据,然后使用基于长短记忆网络LSTM(Long Short Term Memory)构建的深度学习系统检测网络异常流量。在具体实现中,系统首先通过Linux内核网络栈最底层XDP(eXpress Data Path)中的eBPF程序挂载点采集网络流量特征数据。之后,使用LSTM构建神经网络模型和预测分类。将系统应用于一个仿真实验网络环境得出的实验结果表明,系统的识别精确度达到97.9%,同时,在使用该系统的情况下,网络中的TCP与UDP通信的吞吐率仅平均下降8.53%。结果表明：系统对网络通信影响较低,同时也实现了较好的检测效果,具有可用性,为网络异常流量检测提供了一种新的解决方法。     

基于边界检测和骨骼提取的显著性检测网络

目前一些方法通过多任务联合实现显著性检测，在一定程度上提升了检测精度，但仍存在误检和漏检问题，其原因在于各任务优化目标不同且特征域差异较大，导致网络对显著性、物体边界等特征辨识能力不足．基于此，借助边界检测和骨骼提取提出一种多任务辅助的显著性检测网络，其包括特征提取子网络、边界检测子网络、骨骼提取子网络以及显著性填充子网络．其中，特征提取子网络利用ResNet101预训练模型提取图像的多尺度特征；边界检测子网络选择前3层特征进行融合，可完整保留显著性目标的边界信息；骨骼提取子网络选择后两层特征进行融合，可准确定位显著性目标的中心位置；所提方法基于边界检测数据集和骨骼提取数据集分别对两个子网络进行训练，保留最好的边界检测模型和骨骼提取模型，作为预训练模型辅助显著性检测任务．为降低网络优化目标与特征域之间的差异，设计了显著性填充子网络将提取的边界特征和骨骼特征进行融合和非线性映射．在4种数据集上的实验结果表明，所提方法能有效恢复缺失的显著性区域，优于其他显著性目标检测方法．     

基于多特征融合的GraphHeat-ChebNet隧道形变预测模型

对隧道的形变进行预测是隧道结构异常检测的内容之一。为了充分挖掘形变特征的时空关联性,针对隧道内衬多个断面的形变同时预测,提出一种基于多特征融合的GraphHeat-ChebNet隧道形变预测模型。所提模型中利用GraphHeat和ChebNet这2种图卷积网络(graph convolution net,GCN)分别提取特征信号的低频和高频部分,并获取形变特征的空间关联性,ConvGRUs网络用于提取特征在时间上的关联性,通过三阶段融合方法保留挖掘的信息。为了解决实验数据在时间维度上不充足的问题,引入双层滑动窗口机制。此外,所提模型与其他模型或算法在不同数据集上实验比较,衡量一天和两天预测值的误差指标优于其他模型,而且对大部分节点预测的误差较低。说明模型受样本节点数影响较小,能较好地预测一天和两天的形变,模型学习特征与时空模式的能力较强,泛化性较好。     

变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

基于数据流多维特征的移动流量识别方法研究

随着移动互联网的快速发展,移动设备的数量激增至历史新高.从大量混杂流量中识别出移动流量并对流量进行分析,是深入研究移动互联网特性的第一步,同时可以为移动网络测量与管理、移动安全和隐私保护提供有价值的信息.本文综合整理了网络流量识别的常见方法,提出了基于数据流多维统计特征的移动流量识别方法.该方法从硬件特征、操作系统指纹和用户使用习惯三个方面提取了数据流中具有代表性的特征并对特征进行分析,使用集成学习的方法生成识别模型.移动流量的识别准确率和主流的5种操作系统流量分类的准确率都达到了99%以上.本文方法比UAFs方法准确率提高了8%左右.本方法提取的特征具有多维性并且具有实际意义,整合了网络层和传输层的数据流特征,相较于使用深度数据包检测的方法,基于数据流多维特征的方法同样适用于加密流量的分类.     

基于深度特征融合的红外弱小目标检测方法

红外弱小目标具有信噪比低、目标尺寸小、特征不明显等特点,加之场景复杂度不断提升,杂波干扰严重,导致现有的红外弱小目标检测方法在面对复杂场景时性能衰减。综合手工方法提取目标单一的显著特征及深度学习方法提取图像综合特征的优势,设计了基于深度学习的红外弱小目标深度特征融合检测网络模型。首先,模型利用多尺度自适应特征提取网络来提取红外图像中弱小目标的原始特征与平滑度图像中弱小目标的平滑度特征;其次,为提高目标显著度,提出了一种多层级联特征融合策略,实现特征提取网络中小目标原始特征与平滑度特征的融合;最后,利用多层级联特征融合映射网络对红外弱小目标进行特征映射与背景抑制,获得背景杂波被极大抑制的红外弱小目标特征映射图像。实验结果表明,同现有的基于深度学习与基于手工特征的检测方法相比,所提出的检测方法在各种复杂的场景中都拥有较高的准确率及较低的虚警率,同时拥有较快的检测速度。     

一种融合多模态特征的视频暴力检测方法

暴力事件检测是视频内容智能分析的一个常见任务,在互联网视频内容审查、影视作品分析、安防视频监控等领域有重要应用.面向视频中暴力检测任务,提出了一个包含关系网络和注意力机制的方法来融合视频中的多模态特征,该方法首先使用深度学习提取视频中多个模态特征,如音频特征、光流特征、视频帧特征,接着组合不同的模态特征,利用关系网络来建模多模态之间的关系;然后基于深度神经网络设计了多头注意力模块,学习多个不同的注意力权重来聚焦视频的不同方面,以生成区分力强的视频特征.该方法可以融合视频中多个模态,提高了暴力检测准确率.在公开数据集上训练和验证的实验结果表明,提出的多模态特征融合方法,与仅使用单模态数据的方法和现有多模态融合的方法相比,具有明显的优势,检测准确率分别提升了4.89％和1.66％.     

Efficient Feature Extraction Using Apache Spark for Network Behavior Anomaly Detection

Extracting and analyzing network traffic feature is fundamental in the design and implementation of network behavior anomaly detection methods. The traditional network traffic feature method focuses on the statistical features of traffic volume. However, this approach is not sufficient to reflect the communication pattern features. A different approach is required to detect anomalous behaviors that do not exhibit traffic volume changes,such as low-intensity anomalous behaviors caused by Denial of Service/Distributed Denial of Service(Do S/DDo S)attacks, Internet worms and scanning, and Bot Nets. We propose an efficient traffic feature extraction architecture based on our proposed approach, which combines the benefit of traffic volume features and network communication pattern features. This method can detect low-intensity anomalous network behaviors and conventional traffic volume anomalies. We implemented our approach on Spark Streaming and validated our feature set using labelled real-world dataset collected from the Sichuan University campus network. Our results demonstrate that the traffic feature extraction approach is efficient in detecting both traffic variations and communication structure changes.Based on our evaluation of the MIT-DRAPA dataset, the same detection approach utilizes traffic volume features with detection precision of 82.3% and communication pattern features with detection precision of 89.9%. Our proposed feature set improves precision by 94%.     

基于深层迁移学习的DR胸片肺结核病灶检测

针对基于传统机器学习方法设计的DR胸片肺结核检测器存在着泛化能力不强,实际检测精度低等问题,提出了一种基于Focal Loss的深度学习检测方法Tuberculosis Neural Net(TBNN).医学图像的特殊性,存在带标注的数据量小导致无法充分训练深层网络模型等问题.该方法利用肺炎和肺结核同为呼吸道感染疾病且在DR胸片上有相似表征的特点,基于迁移学习原理训练特征提取子网络,减少肺结核胸片样本不足对模型训练造成的影响.首先在大型的肺炎胸片数据集上训练特征提取网络,以获取DR图像中丰富的深层图像语义信息,然后使用样本较少的肺结核数据集微调网络参数,并将多层卷积的输出作为TBNN分类子网络的输入,得到基于DR胸片的肺结核病灶检测模型.实验结果表明,该方法生成的检测模型在分类精度和性能上均优于基于传统机器学习的肺结核检测器.在同等训练数据量和训练周期下,模型性能高于其他采用传统数据增强方法的深层网络肺结核检测算法,且能标识病灶区域,准度上有不低于放射科阅片医生的表现.     

融合DBN和BiLSTM的工业互联网入侵检测方法

针对当前工业互联网的攻击行为复杂,其网络数据具有海量、高维、时序性和非线性等特征,导致传统入侵检测方法的特征提取困难、检测率低、泛化能力差等问题,提出一种融合深度信念网络(deep belief network,DBN)和双向长短时记忆网络(Bi-directional long short-term memory,B...     

基于数据编解码的时空交通流预测方法

针对路网的拓扑信息不完整而无法实现时空结合交通流预测的情况，提出了一种基于时间序列预测模型联合数据编解码机制的预测方法。对路网内路段交通流数据进行编码得到路网信息的链状结构，以此获取路网结构中的拓扑信息；通过时序模型对链状结构进行交通流预测，完成对链状结构的时序特征提取；最终，通过解码方法得到路网的时空交通流预测结果。采用GPS数据，选取不同路网进行对比实验，引入数据编解码的时空交通流预测方法与时间序列模型进行比较，并且与基线模型HA和ARIMA展开了对比实验。实验结果表明：深度学习模型引入数据编解码机制后，模型性能明显提升；引入数据编解码机制的深度学习模型的性能比基线模型的性能更优越。该方法仅仅使用简单的时间序列深度网络再联合数据的编解码机制即可实现时空结合的交通流预测。     

基于多层神经网络的智能家居入侵检测方法

依托物联网技术的智能家居面临多重信息安全风险,现有智能家居入侵检测方案存在难以处理大量高维度数据、检测率低、误检率高、依赖经验确定网络层数等问题。提出一种融合深度学习与模糊神经网络的多层神经网络入侵检测方法;基于深度学习完成数据特征的学习,将高维数据映射为低维数据;基于网络重构误差训练并优化确定网络深度。仿真测试结果表明,该方案可有效提高对攻击行为的检测准确率和检测效率;针对远程非法访问的检测率可达到94%,对拒绝服务攻击的检测准确率可达96%,对网络中新型攻击的检测率超过60%。     

基于最优区域生成的深度多尺度融合遥感飞机检测方法

遥感图像中典型目标的检测是当前图像处理领域的研究热点,飞机在战场监视、航空管制和交通运输等领域发挥着重要作用。为了提高遥感图像中飞机检测的正确率,提出了一种基于多特征融合的遥感飞机检测方法,将深层特征经过上采样操作后与浅层特征进行融合,解决了遥感飞机目标较小造成的检测困难的问题。首先,对于锚框尺寸和个数由人为确定而造成目标位置检测不准的问题,采用K-均值聚类(K-means)算法对数据集的目标框大小进行聚类分析并获得适合飞机遥感图像的锚框(anchor boxes)个数以及宽高维度;其次,采用上采样的方法扩大感受野,以提高网络对小目标的检测准确率。采用多尺度融合的卷积神经网络,以适应不同尺度目标的检测,最终提出一种基于最优区域生成的深度多尺度融合遥感飞机检测方法。仿真结果表明:与典型的飞机检测方法相比,所提方法在测试集上取得了更高的的检测精度。