新型智能入侵防御模型

针对目前基于免疫的入侵检测模型自适应性较差,缺少定量描述及成熟检测器生成效率不高等问题,提出了一种新型的入侵防御模型.建立了抗原、抗体的形式化描述及动力学方程;提出了一种由随机产生和基因库相结合的未成熟抗体生成机制和基于基因驱动的检测器进化算法,并采用疫苗注射方法提高网络的整体防御能力;通过收集到的真实网络数据及KDDCup1999评估数据对模型进行了仿真对比实验.结果表明,本模型具有更好的检测性能,有效提高了网络的安全防御能力.     

基于人工免疫原理的入侵检测研究

将人工免疫的原理运用到计算机入侵检测系统中,充分利用了人工免疫系统的分布性、自适应性和高效性.为入侵检测系统的高误报率和缺乏自适应性问题的解决提供了一个模型框架.并对生成检测器的阴性算法进行了描述.     

基于集成学习的智能电网主机恶意软件检测方法

目前智能电网恶意软件检测系统主要基于特征库对已知恶意软件进行检测,不适用检测恶意软件未知变种.而现有基于机器学习的恶意软件未知变种检测方法的准确性和鲁棒性有待进一步提升,不足以满足智能电网实际需要.因此,提出一种基于集成学习的恶意软件未知变种检测方法,利用多源数据集和多种机器学习方法交叉构建单一检测模型,并设计一种基于Logistic的集成学习方法,构建恶意软件未知变种集成检测模型.实验对比分析表明,构建的集成检测模型相较于传统单一检测模型在准确性和鲁棒性方面有着显著提升.     

基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法

攻击者为了逃避检测，常利用加壳技术对恶意软件进行加密或压缩，使得安全分析人员以及传统基于静态分析的恶意软件检测方法在恶意软件运行前难以利用反汇编等逆向工具对其进行静态分析。为检测加壳恶意软件，当前主要采用动态分析方法检测加壳恶意软件，然而受限于加壳工具种类和样本规模，以及恶意软件加壳行为带来的混淆噪声，导致传统基于机器学习检测方法存在准确率不足等问题。研究提取并分析加壳恶意软件运行时的系统调用行为特征，识别并筛选出敏感行为，旨在过滤脱壳行为噪声产生的影响；通过对系统调用行为特征加权降维，提升行为特征的有效性；通过对加权降维的行为特征进行聚类分析，最终实现加壳恶意软件未知变种检测和检测模型增量更新。实验结果表明，提出的基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法检测误报率3.9%,相较几种典型机器学习检测方法呈显著降低。     

基于SNGAN的黑盒恶意软件对抗样本生成方法

目前，为了应对数以百万计的Android恶意软件，基于机器学习的检测器被广泛应用，然而其普遍存在防对抗攻击能力差的问题，对恶意软件对抗样本生成方法的研究有助于促进恶意软件检测领域相关研究的发展.黑盒场景下的对抗样本生成技术更加符合现实环境，但相较于白盒场景效果不佳.针对这一问题，本文提出了一种基于SNGAN的黑盒恶意软件对抗样本生成方法，将图像领域的SNGAN方法迁移到恶意软件领域，通过生成器网络和替代检测器网络的迭代训练生成对抗样本，并通过谱归一化来稳定训练过程.该方法能够对已有的恶意软件添加扰动，达到欺骗机器学习检测器的效果.实验结果证明，该方法对多种机器学习分类器均可以有效规避检测，验证了方法的可行性和可迁移性.     

基于粒子群优化随机森林的恶意软件检测分析

为了有效地检测软件家族中的恶意软件,改进了加权随机森林模型,提出基于粒子群优化的随机森林(particle swarm optimization-random forest,PSO-RF)模型,并使用基于粒子群优化随机森林的恶意软件检测方法对恶意软件家族进行分类。对得出的结果与决策树、支持向量机等经典分类器从准确率、精确度、召回率、综合评价指标值(F₁值)等指标进行对比分析,以验证改进后的算法的有效性与合理性。结果表明,PSO-RF模型评估指标均是最高的,能大大提升恶意软件的检测效果。     

突出煤层微震动态响应与多参量指标预警方法

针对目前常规监测预警技术及单一预警指标难以适应整个采掘过程等问题,以贵州义忠煤矿为工程背景,基于微震监测技术手段,分析井下典型信号的微震响应特征,研究微震预警指标与瓦斯涌出动态指标的相关性,形成一套科学、完备的预测指标体系.提出煤与瓦斯突出危险性的动态评价与参量联合预警方法,基于多指标参量联合预警的综合预警机制,对预警模型触发的预警进行分级处理,共划分为安全、较安全、危险和高度危险4个预警响应等级.实现微震信号的连续采集、预处理,微震事件的多维展示和时空分析,收集打钻等煤矿井下典型干扰信号,完成各类型信号的特征分析.通过微震指标与常规预测指标的相关性分析,认为微震指标的变化特征与突出危险性预测指标、瓦斯涌出指标变化有较好的一致性.研究结果可为实现煤与瓦斯突出微震预警提供理论支撑.     

基于电量消耗的Android平台恶意软件检测

根据Android应用在运行期的耗电时序波形与声波信号类似的特点,该文提出了一种基于Mel频谱倒谱系数(Mel frequency cepstral coefficients,MFCC)的恶意软件检测算法。首先计算耗电时序波形的MFCC,根据MFCC的分布构建Gauss混合模型(Gaussian mixture model,GMM)。然后采用GMM对电量消耗进行分析,通过对应用软件的分类处理识别恶意软件。实验证明:应用软件的功能与电量消耗关系密切,并且基于软件的电量消耗信息分析可以较准确地对移动终端的恶意软件进行检测。     

基于网络流量分析的未知恶意软件检测

为了有效检测移动端的未知恶意软件,提出一种基于机器学习算法,并结合提取的具有鲁棒性的网络流量统计特征,训练出具有未知移动恶意网络流量识别能力的检测模型;该模型主要包括Android恶意软件样本数据预处理、网络流量数据自动采集以及机器学习检测模型训练;通过对不同时间节点的零日恶意软件检测的实验,验证模型的有效性。结果表明,所提出的方法对未知恶意样本的检测精度可以超过90%,并且F度量值为80%。     

基于信息融合的配电柜故障电弧预警系统研究

针对目前配电柜故障电弧预报警系统存在预警准确性差、误报率高等问题,结合信息融合技术在故障检测诊断中应用,提出了基于信息融合技术的配电柜故障电弧预警系统的一般模型。该模型以燃弧前的弧声信号为预警信号,运用贝叶斯最小风险准则进行融合计算;进而得出故障电弧燃烧前的预警判决信号。并用仿真结果证明了该算法的有效性。     

多特征和支持向量机相结合的语音端点检测模型

为提高语音端点检测正确率,提出一种基于多特征和支持向量机相结合的语音端点检测模型。首先提取多种语音特征,并将它们组合在一起,然后将组合特征输入到支持向量机训练建立相应的语音识别模型,最后采用建立模型对语音信号进行检测和识别。仿真结果表明,与其他检测模型相比,多特征融合和支持向量机的检测模型提高了语音端点检测正确率,具有更好的适应性和鲁棒性,对不同信噪比的信号都有较好的检测能力。     

基于SNGAN的黑盒恶意软件对抗样本生成方法

基于变分自编码器的协同推荐算法可以帮助解决推荐算法中的稀疏性问题，但是由于变分自编码器模型先验是单一的高斯分布，使得表达趋向简单和平均，存在拟合不足的问题.高斯混合变分自编码器模型拥有更加复杂的先验，相对于原本的变分自编码器模型，它对于非线性的任务有着更强的适应性和效果，已被广泛应用于无监督聚类和半监督学习.受此启发，本文研究基于高斯混合变分自编码器模型的协同过滤算法.本文基于Cornac推荐系统比较框架设计实验，将高斯混合变分自编码器改进后用于协同推荐任务中，利用生成模型重新生成的用户-物品矩阵进行推荐.在推理模型和生成模型中分别用一层隐藏层提取深层特征增加模型鲁棒性，并且使用提前停止的训练策略以减少过拟合.本文在多组公开数据集上进行实验，与其他推荐算法在NDCG和召回率指标上进行对比.实验证明，改进的基于高斯混合变分自编码器模型的协同过滤算法在推荐任务中表现优异.     

DroidDetector: Android Malware Characterization and Detection Using Deep Learning

Smartphones and mobile tablets are rapidly becoming indispensable in daily life. Android has been the most popular mobile operating system since 2012. However, owing to the open nature of Android, countless malwares are hidden in a large number of benign apps in Android markets that seriously threaten Android security. Deep learning is a new area of machine learning research that has gained increasing attention in artificial intelligence. In this study, we propose to associate the features from the static analysis with features from dynamic analysis of Android apps and characterize malware using deep learning techniques. We implement an online deep-learning-based Android malware detection engine(Droid Detector) that can automatically detect whether an app is a malware or not. With thousands of Android apps, we thoroughly test Droid Detector and perform an indepth analysis on the features that deep learning essentially exploits to characterize malware. The results show that deep learning is suitable for characterizing Android malware and especially effective with the availability of more training data. Droid Detector can achieve 96.76% detection accuracy, which outperforms traditional machine learning techniques. An evaluation of ten popular anti-virus softwares demonstrates the urgency of advancing our capabilities in Android malware detection.     

ModuleGuard: A gatekeeper for dynamic module loading against malware

We analyze the attack steps of malware and focus on the malware loading. Our assumption is that a malware contains no less than one module, so monitoring module loading is indispensable to defeat malware. Moreover, we design security policies and employ these policies when a module is loaded by the operating system. These policies depend on properties of module, the connection to created modules, and the link to user intention. The properties of module and this connection can improve the accuracy of malware detection. User intention can be helpful to handle unknown module and enhances the flexibility of policy. Finally, ModuleGuard, a gatekeeper for dynamic module loading against malware, has been designed and implemented, which integrates these security policies. Our experimental results have shown the feasibility and effectiveness of our method.     

基于谱熵梅尔积和改进VMD的轴承故障预警

针对传统轴承故障预警实时性较差、故障特征提取准确性影响预警效果的问题,将语音端点识别思想进行迁移,采用谱熵梅尔积特征的双门限法实时追踪故障起始点.为克服变分模态分解（variational mode decomposition,VMD）参数选取不当和端点效应对提取效果造成的影响,提出能量差网格搜索法对VMD进行参数寻优,并用支持向量回归机对端点效应进行抑制,结合多尺度加权排列熵在检测振动信号随机性方面的优势,充分发挥VMD对信号的重构能力,对起始点后的故障段进行特征捕捉.通过实际轴承故障信号的实验及数据分析,验证了该方法在轴承故障预警中的有效性.      

基于SMS/MMS和Bluetooth的智能手机恶意软件传播模型研究

针对手机短信网络的聚集性和蓝牙网络的移动性,在经典的传播模型SEIR的基础上,考虑动态感染率、用户聚集特性、预免疫措施等外界因素的影响,建立一种基于蓝牙和短信/彩信混合模式的智能手机恶意软件传播模型,并在此基础上分析动态感染率、预免疫、用户聚集密度等参数对手机恶意软件传播的影响.实验结果表明,该模型能够反映智能手机恶意软件在实际情况下的传播特征.     

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

机器学习缓解的广域阻尼控制系统异常检测

为了建立攻击弹性,以抵抗对测量信号和控制信号段的隐蔽网络攻击,提出了一种基于机器学习缓解策略的广域阻尼控制系统异常检测方法。首先提出基于信号熵的特征提取,从而提高机器学习模型的训练检测精度和鲁棒性。然后提出一种基于电力系统运行条件和网络攻击事件的组合数据集生成方法,以便用于任何大规模电网模型。引入的缓解模块能够调谐系统信号,并同时在测量和控制信号上进行攻击检测。在2区域4机电力系统的测试环境下对本文方法的性能进行了评估,结果表明本文方法能够实现高精度的异常检测。