基于注意力机制的加密流量识别

随着人们网络安全意识的提高,加密流量呈爆炸式增长,流量加密在保护用户隐私的同时,也为安全检测带来了新的挑战。针对传统基于机器学习的流量识别方法存在需要手动设计分类特征、分类准确率不高等问题,提出一种基于卷积神经网络与自注意力机制(Convolutional Neural Network and Self Attention, CSA)的加密流量分类方法,依据网络流量的层次结构特性,采用卷积神经网络提取数据包内字节流的空间特征、自注意力机制提取数据包之间的时序特征。在公开数据集ISCX VPN-NonVPN上的实验结果表明,CSA模型的分类准确率达到了95.0%,相较基准深度模型,准确率和F1值皆有明显的提升。     

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

基于时空特征自适应融合网络的加密流量分类方法

加密流量数据包之间具有明显的时序特征,现有方法很难提取出流量数据中隐含的时序特征,未能将时序特征与空间特征有效地融合,公开数据集大都存在类间样本不平衡的问题,给加密流量的准确分类带来巨大挑战.针对上述问题,提出了一种包含时空特征提取模块和难样本学习模块的卷积神经网络模型.时空特征提取模块先利用不同维度的卷积核来同步学习流量数据包序列中的时序和空间特征,再利用自适应加权融合策略将提取到的时空特征进行有效融合;难样本学习模块使用焦点函数让模型在训练过程中更偏向对困难样本的学习,进一步均衡不同类别的分类效果.实验结果表明：上述方法在ISCX VPN-nonVPN2016数据集和USTC-TFC2016数据集上的分类准确率分别达到了99.38%和99.46%,对不同类别流量分类结果的F1评价指标分别为99.04%和99.31%,与当前同类方法相比具有更优秀的识别性能.     

基于熵时间序列的恶意Office文档检测技术

为了更加准确地检测恶意Office(*.docx、*.rtf)文档,提出了一种基于文档熵时间序列对恶意Office文档进行检测的方法。该方法将恶意与非恶意文档二进制之间的差异转换为文件熵时间序列功率谱之间的差异性,然后采用IBK、random committe(RC)和random forest(RF)3种机器学习方法分别对数据进行学习和检测。实验结果显示,针对基于XML压缩技术的docx格式文档的准确率可以达到92.14%,而针对富文本格式(rtf)文件的准确率可以达到98.20%。     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

基于ERNIE-BiLSTM-DPCNN的微博长文本谣言检测

为了实现对于微博长文本谣言的检测,使用ERNIE模型对微博长文本数据使用词嵌入技术实现对文本的向量化,将这些词向量作为BiLSTM-DPCNN模型的输入,利用BiLSTM-DPCNN模型的特性,捕捉句子中的上下文信息和长期依赖关系,最终高效地提取特征并进行分类.数据集通过五折交叉验证方法划分,通过设置多组对比实验,实验结果显示：ERNIE-BiLSTM-DPCNN模型的准确率达到98.52%,高于在同一数据集下的其他同组实验,证明该模型对于微博长文本谣言检测具有较好的效果.     

基于HTM算法的恶意Android应用检测

随着互联网用户从传统PC端到移动端的转换,移动安全受到越来越多的关注。为了提高对未知恶意移动应用的检测效率,针对传统检测对引入多态和变形技术的恶意应用检测能力较差的问题,提出了一种基于HTM算法的恶意Android移动应用检测方法。该应用检测包含针对Android应用Dalvik指令特点的特征提取、采用信息增益的方式进行特征选择与融合,并利用HTM算法进行序列模式训练和推导,然后将测试样本特征提取与融合后的结果输入到完成训练的HTM网络中,达到检测恶意应用的目的。实验仿真表明,所设计的恶意应用检测方法的检测率接近100%,检测效率高,误报率0.08%。相较于其他算法,提出的恶意检测方法的检测率、误报率、分类准确率均更优,并能应用于不同类型的恶意应用,但训练和测试时间较长。     

基于数据包特征的加密流量分类

随着加密技术在网络应用中的广泛应用,如何在不侵犯用户隐私的情况下对加密流量进行分类成为新的挑战。文章提出了一种基于数据包的加密流量分类方法,这种方法不仅安全,而且可以有效防止恶意攻击流量。在流量传输过程中,每个数据包的任务是不同的。有些数据包负责维护连接,有些负责数据交互。以往的研究忽略了数据包行为对流量分类的影响。基于数据包的方法旨在通过聚类算法来区分正常和恶意数据包对流量分类的影响,以识别加密的恶意流量。该方法使用公共流量数据集和实验室收集的流量数据集进行验证,并与其他2种方法进行比较,证明了基于数据包的加密流量分类方法的有效性。     

融合残差网络的CR-BiGRU入侵检测模型

针对当前网络攻击的复杂性和多样性,传统模型提取流量特征不足且准确率较低的问题,提出一种融合残差网络改进的CR-BiGRU混合模型的网络入侵检测方法.首先将数据集进行归一化以及独热编码处理,然后利用基于残差网络的卷积神经网络提取空间特征,最后使用双向门控神经网络提取时间特征,完成模型的训练并实现异常网络的入侵检测.为表明模型的适用性,基于数据集NSL-KDD和UNSW-NB15进行对比分析实验,结果表明,该方法基于上述数据集准确率分别达99.40%和83.79%,明显优于经典网络入侵检测算法,能有效提升检测网络入侵的精度,从而更好保证网络数据的通信安全.     

一种基于通道域自注意力的特征图剪枝方法

同时保证网络剪枝方法的准确率和稳定性，提出一种基于通道域自注意力的特征图剪枝方法。该方法采用主成分分析（principle component analysis, PCA）算法降低噪声干扰，引入通道域注意力为特征图自动分配不同权重，移除低权重通道的滤波器，并对网络进行重训练和精调，以减少网络精度损失。在公开数据集上对VGG 16网络模型展开的实验表明，当剪枝率为60%时，达到视觉几何组模型Top 5的准确率为8923%；当剪枝率逐渐增加到80%时，仍保持73%准确率。相较于同类方法，本文提出的方法更能保证剪枝时模型的准确率和稳定性。     

基于动态API调用序列和机器学习的恶意逃避样本检测方法

针对恶意逃避样本的逃避行为进行分析,归纳并总结了恶意逃避样本常用的逃避API函数集,提出了一种基于动态API调用序列和机器学习的恶意逃避样本检测方法。在特征工程处理阶段,提出了逃避API函数权重衡量算法,并通过优化词频处理来增强逃避API函数的特征向量值,最终本文方法检测恶意逃避样本的准确率可达95.09%。     

Variable-length sequential dynamic features-based malware detection①

In order to solve the problem that traditional signature-based malware detection systems are in-efficacious in detecting new malware , a practical malware detection system is constructed to find out new malware .Application programming interface ( API) call sequence is introduced to capture ac-tivities of a program in this system .After that, based on variable-length n-gram, API call order can be extracted from API call sequence as the malicious behavior feature of a software .Compared with tra-ditional methods , which use fixed-length n-gram, the solution can find more new malware .The experi-mental results show that the presented approach improves the accuracy of malware detection .     

基于生成式零样本学习的未知恶意流量分类方法

未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.     

Efficient Feature Extraction Using Apache Spark for Network Behavior Anomaly Detection

Extracting and analyzing network traffic feature is fundamental in the design and implementation of network behavior anomaly detection methods. The traditional network traffic feature method focuses on the statistical features of traffic volume. However, this approach is not sufficient to reflect the communication pattern features. A different approach is required to detect anomalous behaviors that do not exhibit traffic volume changes,such as low-intensity anomalous behaviors caused by Denial of Service/Distributed Denial of Service(Do S/DDo S)attacks, Internet worms and scanning, and Bot Nets. We propose an efficient traffic feature extraction architecture based on our proposed approach, which combines the benefit of traffic volume features and network communication pattern features. This method can detect low-intensity anomalous network behaviors and conventional traffic volume anomalies. We implemented our approach on Spark Streaming and validated our feature set using labelled real-world dataset collected from the Sichuan University campus network. Our results demonstrate that the traffic feature extraction approach is efficient in detecting both traffic variations and communication structure changes.Based on our evaluation of the MIT-DRAPA dataset, the same detection approach utilizes traffic volume features with detection precision of 82.3% and communication pattern features with detection precision of 89.9%. Our proposed feature set improves precision by 94%.     

基于语义分析的恶意JavaScript代码检测方法

JavaScript是一种动态脚本语言,被用于提高网页的交互能力.然而攻击者利用它的动态性在网页中执行恶意代码,构成了巨大威胁.传统的基于静态特征的检测方式难以检测经过混淆后的恶意代码,而基于动态分析检测的方式存在效率低等问题.本文提出了一种基于语义分析的静态检测模型,通过提取抽象语法树的词法单元序列特征,使用word2vec训练词向量模型,将生成的序列向量特征输入到LSTM网络中检测恶意JavaScript脚本.实验结果表明,该模型能够高效检测混淆的恶意JavaScript代码,模型的精确率达99.94%,召回率为98.33%.     

基于SVM的驾驶员疲劳检测研究

疲劳驾驶是导致交通意外的一个重要原因,在车上装一个疲劳检测系统有助于预防交通事故的发生。现实条件下,司机的头和眼睛是不断运动的,使得疲劳特征提取变得比较困难,再加上外部干扰和光线条件的影响,准确判断司机的疲劳状态是一个具有挑战性的问题。本文介绍了一种利用支持向量机检测驾驶员疲劳状态的方法。首先采集驾驶员的头部视频,然后对视频图像进行处理,提取眼睛、嘴的视觉特征和点头频率变化情况,最后利用支持向量机依据这些特征来判断司机的疲劳状态。通过模拟实验,疲劳检测的准确率达到97.80%,表明该方法适合于驾驶员的疲劳检测。     

融合多层级特征的弱监督钢板表面缺陷检测算法

由于缺少实例级标签,使得深度神经网络在工业表面检测领域的应用受到了限制.为解决这一问题,本文面向实际的热轧钢板表面缺陷检测任务,提出基于弱监督学习的缺陷检测网络,该网络引入类激活映射模型,使用容易获取的图像级标签进行模型训练,进行钢板表面的缺陷检测.为了进一步提升检测精度和克服类激活映射模型原有的缺点,本文采用性能更优的残差网络作为主干网络进行特征提取,并提出了多层级特征融合网络进行类激活图的生成,来获取更多的细节信息和更准确的目标激活区域.通过在公开缺陷数据集NEU-CLS上进行实验,结果表明本文提出的方法能够在标签不完备的情况下进行缺陷检测任务,并取得0.68%分类错误率和17.75%定位错误率,胜过其他同类的方法.     

基于改进YOLOv3的交通标志检测

针对交通标志检测小目标数量多、定位困难及检测精度低等问题,本文提出一种基于改进YOLOv3的交通标志检测算法.首先,在网络结构中引入空间金字塔池化模块对3个尺度的预测特征图进行分块池化操作,提取出相同维度的输出,解决多尺度预测中可能出现的信息丢失和尺度不统一问题;然后,加入FI模块对3个尺度特征图进行信息融合,将浅层大特征图中包含的小目标信息添加到深层小特征图中,从而提高小目标检测精度.针对交通标志数据集特点,使用基于GIoU改进的TIoU作为边界框损失函数替换MSE函数,使得边界框回归更加准确;最后,通过k-means++算法对TT100K交通标志数据集进行聚类分析,重新生成尺寸更小的候选框.实验结果表明,本文算法与原始YOLOv3算法相比mAP提升11.1%,且检测每张图片耗时仅增加6.6 ms,仍符合实时检测要求.与其他先进算法相比,本文算法具有更好的检测精度和检测速度.     

Research on internet traffic classification techniques using supervised machine learning

Internet traffic classification is vital to the areas of network operation and management. Traditional classification methods such as port mapping and payload analysis are becoming increasingly difficult as newly emerged applications (e.g. Peer-to-Peer) using dynamic port numbers, masquerading techniques and encryption to avoid detection. This paper presents a machine learning (ML) based traffic classification scheme, which offers solutions to a variety of network activities and provides a platform of performance evaluation for the classifiers. The impact of dataset size, feature selection, number of application types and ML algorithm selection on classification performance is analyzed and demonstrated by the following experiments: (1) The genetic algorithm based feature selection can dramatically reduce the cost without diminishing classification accuracy. (2) The chosen ML algorithms can achieve high classification accuracy. Particularly, REPTree and C45 outperform the other ML algorithms when computational complexity and accuracy are both taken into account. (3) Larger dataset and fewer application types would result in better classification accuracy. Finally, early detection with only several initial packets is proposed for real-time network activity and it is proved to be feasible according to the preliminary results.