基于可变长序列的恶意加密流量检测方法

本文引入组合恶意加密流量数据集,结合随机森林对各个特征的重要性进行对比,构建可变长二维特征序列,提出一种针对可变长序列的恶意加密流量检测方法。该方法采用BiGRU-CNN深度学习模型,通过引入Masking层,有效解决变长序列问题,能够同时提取流量数据中时间和空间的多重特征,最终实现对恶意加密流量的二分类检测。实验结果表明,该方法与基于CNN、LSTM等单一模型相比在精确率、召回率和F1值均有所提升,准确率达到94.61%,且在非训练集实验中能达到94.93%的平均识别准确率,具有较好的应用价值。     

基于注意力机制的加密流量识别

随着人们网络安全意识的提高,加密流量呈爆炸式增长,流量加密在保护用户隐私的同时,也为安全检测带来了新的挑战。针对传统基于机器学习的流量识别方法存在需要手动设计分类特征、分类准确率不高等问题,提出一种基于卷积神经网络与自注意力机制(Convolutional Neural Network and Self Attention, CSA)的加密流量分类方法,依据网络流量的层次结构特性,采用卷积神经网络提取数据包内字节流的空间特征、自注意力机制提取数据包之间的时序特征。在公开数据集ISCX VPN-NonVPN上的实验结果表明,CSA模型的分类准确率达到了95.0%,相较基准深度模型,准确率和F1值皆有明显的提升。     

基于时空特征自适应融合网络的加密流量分类方法

加密流量数据包之间具有明显的时序特征,现有方法很难提取出流量数据中隐含的时序特征,未能将时序特征与空间特征有效地融合,公开数据集大都存在类间样本不平衡的问题,给加密流量的准确分类带来巨大挑战.针对上述问题,提出了一种包含时空特征提取模块和难样本学习模块的卷积神经网络模型.时空特征提取模块先利用不同维度的卷积核来同步学习流量数据包序列中的时序和空间特征,再利用自适应加权融合策略将提取到的时空特征进行有效融合;难样本学习模块使用焦点函数让模型在训练过程中更偏向对困难样本的学习,进一步均衡不同类别的分类效果.实验结果表明：上述方法在ISCX VPN-nonVPN2016数据集和USTC-TFC2016数据集上的分类准确率分别达到了99.38%和99.46%,对不同类别流量分类结果的F1评价指标分别为99.04%和99.31%,与当前同类方法相比具有更优秀的识别性能.     

基于邻域粗糙集的极限学习机恶意DoH流量预警

在对网络安全发起攻击的恶意DoH流量数据中,存在属性特征影响恶意DoH流量攻击目标达成,使用基于邻域粗糙集的极限学习机决策分析方法建立恶意DoH流量预警模型,可为恶意DoH流量预警提供决策支持。首先运用邻域粗糙集属性约简算法对高维DoH流量特征进行降维,并得到约简后的属性重要度,然后利用极限学习机算法测试评估约简后的属性特征对数据样本的分类正确率。应用实例表明,在保证样本类别比例与原数据集一致的前提下,约简后的属性特征对样本数据具有足够高的分类准确率,验证了文中所提基于邻域粗糙集的极限学习机决策分析方法能有效地简化恶意DoH流量安全评价的复杂度。     

基于TextCNN的加密恶意流量检测方法

随着互联网技术的飞速发展,95％的流量使用SSL/TLS协议进行加密,其中隐藏着大量的恶意流量.由于网络流量体量大、加密数据的不可见性,使得如何在不解密的前提下,检测加密恶意流量的研究成为一个重要课题.现有的基于模式匹配的方法,无法处理加密流量.基于统计特征和时序特征的方法,依赖专家经验,需要花费大量的时间,人工提取特...     

利用明文特征和朴素贝叶斯分类识别P2P流量

明文特征是基于应用层静态特征的一种识别方法,需要提取出应用层数据的特征信息;而朴素贝叶斯分类是基于大量统计信息的一种识别方法,主要用来识别加密的Peer-to-Peer(P2P)流量。着重介绍了采用明文特征和朴素贝叶斯分类相结合的方法,对加密的以及未加密的P2P流量进行识别。测试结果表明,这种方法可以较准确地识别出P2P流量。     

基于流的时间相关特征的VPN加密流量识别

随着网络流量规模和来源的增加,对网络流量监控和分析的挑战也随之增加,尤其是 对加密流量进行识别的问题,该挑战性问题在于如何对加密流量不解密的情况下直接识别加密流 量。因此,针对加密流量识别问题,本文提出了一种基于流的时间相关特征的VPN加密流量识别 方法。通过设置2个实验场景,实现了加密流量与非加密流量的识别,并根据流的类型将加密流量 划分为不同的类别,在识别出加密流量的基础上又实现了应用识别和服务类型的识别。最后在公 开数据集ISCXVPN2016上利用不同的机器学习算法进行了对比实验,实验结果表明：使用较短的 流超时值可以提高识别准确率,在流超时值为15 s时结果最优。上述实验结果也证明了时间相关 特征是表征加密流量和VPN流量的良好分类准则。     

一种基于SOCKS 5的Web安全代理技术

综合公钥密码算法(RSA)和数据加密标准(DES)的优势,用DES方法加密待传送的Web数据,使用RSA方法对DES密钥进行加密,提出一种基于SOCKS 5的,RSA和DES相结合的Web安全代理方案.通过性能测试和安全性分析表明,使用RSA传递DES密钥可保证DES每次加密都使用新的密钥,杜绝黑客通过分析明文/密文获得密钥,从而能防御网络数据包被恶意截取后造成泄密,安全代理既保证Web数据的加密速度,又保证DES密钥的安全性和可管理性.     

基于深度学习的SSL VPN加密流量的分类识别

随着虚拟专用网技术的广泛使用，VPN加密流量的分类识别对于网络安全管理的重要性愈发明显，而传统流量分类技术在提取特征和关键协议字段时效率较低.因此，本文提出一种基于卷积神经网络的深度学习模型，用以实现SSL VPN加密流量的分类识别，并减少特征工程中的人力成本.首先，将流量区分为VPN加密流量和非VPN加密流量，并且确定出这两类流量所属的服务类型；然后对所有流量进行分类，识别出产生流量的应用类型.考虑到网络流量中存在的时序关系，采用一维卷积神经网络作为深度学习的模型，通过构建Pytorch的实验环境，采用ISCX2016数据集，实现对VPN加密流量的分类任务.通过参数优化，除数据量较小的数据类型外，应用识别的平均F1-score为91.73%,流量识别的平均F1-score为91.13%.实验结果表明，基于一维卷积神经网络的深度学习方法对于识别SSL VPN流量是可行和有效的.     

远程实验数据传输中加密数据防丢失方法研究

在对远程实验数据传输中的加密数据进行防丢失处理时,传统方法将加密数据流量全部汇聚在一个节点中,但在传输网络带宽有限的情况下,无法有效防止加密数据丢失。提出一种新的远程实验数据传输中加密数据防丢失方法,对远程实验数据传输过程进行分析,对待传输实验数据包进行分段处理,令各段原始数据数量相同且等长,将段作为单位,完成对段内数据包的编码传输、缓存及解码;在此基础上,采用数据融合算法,通过准备阶段、初始化阶段、实验数据融合阶段和加密数据防丢失验证阶段,对远程实验数据传输中加密数据进行防丢失处理。实验结果表明,所提方法不仅准确性高,而且能够有效防止加密数据丢失,隐私保护能力强。     

基于元数据的检察机关与政法部门信息共享方法研究

基于元数据的检察机关与政法部门信息共享方法研究是分析检察机关信息共享实际业务,提出并建立基于检察业务信息共享实际的元数据字典,在元数据字典的基础上建立数据交换平台,对各单位提供交换数据进行检测、清洗、分类、入库,对各单位交换请求进行数据相应.数据交换平台负责对元数据进行存储、管理和共享,同时广播发布交换数据格式,对各单位应用系统提供信息资源共享接口.系统交换平台根据各单位数据交换内容定义各元数据实体,通过元数据实体提取中心库的元数据信息,生成相应交换数据包.为确保数据安全性,系统平台对各交换数据包采用3DES加密算法进行加密控制,防止系统数据泄密.     

一种多特征融合的加密流量快速分类方法

网络流量识别是网络管理和安全服务的基础.随着互联网的不断扩展及其复杂性的增加,传统基于规则的识别方法或流行为特征的方法正在面临着巨大挑战.受自然语言处理（Nature Language Processing, NLP）启发,本文提出了一种多特征融合的加密流量快速分类方法.该方法通过融合数据包和字节序列特征来完成网络流的特征表示,采用双元字节编码将所选特征扩展为双字节序列,增加了字节的上下文语义特征;通过与数据包特征处理相适应的池化方法来最大限度保留数据包的特征信息,从而使所提模型具有更强的抗噪能力和更精确的分类能力.本文方法分别在ISCX-2016和一个包含66个热门应用程序的私有数据集（ETD66）上进行验证,并与其他模型展开比较.结果表明：本文所提方法在ISCX-2016及ETD66上的测试精度和性能都明显优于其他流量分类模型,分别取得了98.2%和98.6%的识别准确率,从而证明了所提方法的特征提取能力和强泛化能力.     

基于生成式零样本学习的未知恶意流量分类方法

未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.     

一种基于深度特征融合的网络流量分类方法

随着网络应用的持续发展,识别特定的流或者应用程序有着重要的作用。由于机器学习方法对特征选择较为苛刻,因而,具有自动特征提取的深度学习算法的优势就突显出来了。但现有深度学习方法大多是对网络流量的原始字节进行处理和分类,而原始字节包含较多的冗余和混淆信息。针对此,提出了一种基于深度特征融合的流量分类方法。该方法对原始的统计特征进行融合,并将融合后的特征转化为灰度图像,应用卷积神经网络对转换后的灰度图像进行分类,达到对加密流量进行分类的目的。在两个真实数据集上进行实验验证,分类准确率达到了92%～99.89%。与文献方法相比,在网络流量粗粒度和细粒度分类上都取得了更好的结果。     

面向车联网泛洪攻击的流量异常检测方法

为了有效检测车联网环境下的泛洪攻击,缓解泛洪攻击对车联网的不良影响,该文提出了面向车联网环境下针对泛洪攻击的轻量化流量异常检测方法。通过在路侧单元使用Hurst自相似参数估计方法计算车联网数据包流量的自相似变化曲线,检测流量异常变化,并上传异常时段的数据包信息到云端,云端统计各节点发送数据包情况,通过检测数据包大小异常变化来检测发起泛洪攻击的恶意节点。通过对车联网实际网络流量仿真计算结果表明,该流量异常检测方法能在低中高3种泛洪攻击强度下,有效检测出恶意节点。     

加密流量分类的特征回放集成学习方法

针对加密流量特征稀疏与难以通过单一方法进行表征的问题，文章提出一种基于特征回放的集成学习方法，包括预特征提取、特征回放、集成学习三个阶段。首先，收集报文的到达平均时间间隔、最大长度等常用统计信息作为数据集的原始特征，其次，训练多个预分类器并将这些分类器的预测结果作为新的特征加入数据集中，最后，借鉴Stacked Generalization的集成思想训练最终的决策分类器。利用Cyberflood构建多种类别的加密流量数据并进行相关实验，结果表明本文方法在准确率上比已有分类方法提高了近5%。     

数据平面和控制平面相分离的网络入侵检测系统

本文提出一种具有数据平面和控制平面分离的网络入侵检测系统,实现了高可扩展性。结合考虑单分类支持向量机和软间隔支持向量机的优点,提出了一种基于增强支持向量机的入侵检测方法,以此准确高效地区分恶意入侵数据流与正常数据流。在仿真实验部分,使用恶意软件产生恶意数据集,并利用该数据集来验证系统的有效性。     

基于XML加密的车载监控系统

为了防止在网络中传输的音视频数据被恶意截取或修改,本文采用了基于XML安全的传输方式,对RTSP命令数据中的关键部分进行了加密处理,对音视频数据的R T P包头和内容进行了加密保护,在对音视频性能影响较小的前提下有效的保护了数据的安全。     

基于数据流多维特征的移动流量识别方法研究

随着移动互联网的快速发展,移动设备的数量激增至历史新高.从大量混杂流量中识别出移动流量并对流量进行分析,是深入研究移动互联网特性的第一步,同时可以为移动网络测量与管理、移动安全和隐私保护提供有价值的信息.本文综合整理了网络流量识别的常见方法,提出了基于数据流多维统计特征的移动流量识别方法.该方法从硬件特征、操作系统指纹和用户使用习惯三个方面提取了数据流中具有代表性的特征并对特征进行分析,使用集成学习的方法生成识别模型.移动流量的识别准确率和主流的5种操作系统流量分类的准确率都达到了99%以上.本文方法比UAFs方法准确率提高了8%左右.本方法提取的特征具有多维性并且具有实际意义,整合了网络层和传输层的数据流特征,相较于使用深度数据包检测的方法,基于数据流多维特征的方法同样适用于加密流量的分类.     

基于累积信誉和路径递减的无线传感器网络可靠路由方法

在无线传感器网络中,某些节点会在路由数据时选择性转发数据包以节约自身能量;或者恶意丢弃某些数据以对网络进行破坏。这些路由节点的不良行为会使网络中传递的数据缺乏安全性;也使得网络变得不可靠,易受到各种攻击。针对无线传感器网络节点数据路由时存在不良行为的问题,提出一种基于累积信誉和路径递减的可靠路由方法。首先是根据统计学中负二项分布原理,对参与数据路由的节点进行信誉评价;并选取满足一定信誉条件的节点作为路由节点。然后通过路径递减方法对数据进行路由,目的是避免过多的中间节点,最后将数据包以可靠的方式通过最短的路径路由到目的地。实验测试结果表明所提方法在网络中存在恶意路由节点情况下,能够较好地提高数据包投递率,以及减少数据包到达目的节点的平均跳转次数,提高了数据路由的可靠性。