基于可变长序列的恶意加密流量检测方法

本文引入组合恶意加密流量数据集,结合随机森林对各个特征的重要性进行对比,构建可变长二维特征序列,提出一种针对可变长序列的恶意加密流量检测方法。该方法采用BiGRU-CNN深度学习模型,通过引入Masking层,有效解决变长序列问题,能够同时提取流量数据中时间和空间的多重特征,最终实现对恶意加密流量的二分类检测。实验结果表明,该方法与基于CNN、LSTM等单一模型相比在精确率、召回率和F1值均有所提升,准确率达到94.61%,且在非训练集实验中能达到94.93%的平均识别准确率,具有较好的应用价值。     

利用明文特征和朴素贝叶斯分类识别P2P流量

明文特征是基于应用层静态特征的一种识别方法,需要提取出应用层数据的特征信息;而朴素贝叶斯分类是基于大量统计信息的一种识别方法,主要用来识别加密的Peer-to-Peer(P2P)流量。着重介绍了采用明文特征和朴素贝叶斯分类相结合的方法,对加密的以及未加密的P2P流量进行识别。测试结果表明,这种方法可以较准确地识别出P2P流量。     

基于生成式零样本学习的未知恶意流量分类方法

未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.     

基于支持向量机的加密流量识别方法

针对现有的加密流量识别方法难以区分加密流量和非加密压缩文件流量的问题,对互联网中的加密流量、txt流量、doc流量、jpg流量和压缩文件流量进行分析,发现基于信息熵的方法能够有效地将低熵值数据流和高熵值数据流区分开.但该方法不能识别每个字节是随机的而全部流量是伪随机的非加密压缩文件流量,因此采用相对熵特征向量{h_0,h_1,h_2,h_3}区分低熵值数据流和高熵值数据流,采用蒙特卡洛仿真方法估计π值的误差p_(error)来区分局部随机流量和整体随机流量.最终提出基于支持向量机的加密流量和非加密流量的识别方法 SVM-ID,并将特征子空间SVM={h_0,h_1,h_2,h_3,p_(error)}作为SVM-ID方法的输入.将SVM-ID方法和相对熵方法进行对比实验,结果表明,所提方法不仅能够很好地识别加密流量,还能区分加密流量和非加密的压缩文件流量.     

基于轮询加密鉴权机制的5G网络抗攻击算法研究

为解决5G网络抗攻击领域内存在的网络抖动难以抑制、恶意攻击熔断效率不高等不足,提出了一种基于轮询加密鉴权机制的5G网络抗攻击算法.首先,利用基站和节点间存在的拓扑聚类关系,采用拓扑距离切割来实现对节点加入过程的主动应答,按能量水平实现快速排序,以增加恶意攻击节点的运行成本,优化网络传输质量;随后,基于拓扑距离、能耗等多参数,设计了一种基于多参数筛除机制的区域稳定方法,能够通过基准鉴权时钟优先清除不同步的恶意节点,以提升网络对恶意节点的熔断效果;最后,按照最小生成树来形成传输区域,有效降低流量激增对网络带来的恶意攻击,优化区域间传输,以提高网络抖动抑制能力.仿真实验表明,所提算法具有更强的网络抖动抑制能力及更优的恶意攻击熔断效果.     

网络协议流量识别方法研究

网络协议流量识别旨在识别流量所属的网络应用或者协议,进而及时发现和处理网络故障和安全漏洞,提高网络服务质量和保障网络空间安全.首先总结4种主要网络协议流量识别方法:基于行为的识别方法、基于负载随机性的识别方法、基于有效负载的识别方法和基于统计学特征的识别方法;然后分别基于在线加密流量、在线非加密流量、离线加密流量和离线非加密流量4种应用场景,对相关研究成果进行归类总结和讨论;最后总结全文并展望未来网络协议流量识别方法的研究方向.     

基于数据流多维特征的移动流量识别方法研究

随着移动互联网的快速发展,移动设备的数量激增至历史新高.从大量混杂流量中识别出移动流量并对流量进行分析,是深入研究移动互联网特性的第一步,同时可以为移动网络测量与管理、移动安全和隐私保护提供有价值的信息.本文综合整理了网络流量识别的常见方法,提出了基于数据流多维统计特征的移动流量识别方法.该方法从硬件特征、操作系统指纹和用户使用习惯三个方面提取了数据流中具有代表性的特征并对特征进行分析,使用集成学习的方法生成识别模型.移动流量的识别准确率和主流的5种操作系统流量分类的准确率都达到了99%以上.本文方法比UAFs方法准确率提高了8%左右.本方法提取的特征具有多维性并且具有实际意义,整合了网络层和传输层的数据流特征,相较于使用深度数据包检测的方法,基于数据流多维特征的方法同样适用于加密流量的分类.     

基于流的时间相关特征的VPN加密流量识别

随着网络流量规模和来源的增加,对网络流量监控和分析的挑战也随之增加,尤其是 对加密流量进行识别的问题,该挑战性问题在于如何对加密流量不解密的情况下直接识别加密流 量。因此,针对加密流量识别问题,本文提出了一种基于流的时间相关特征的VPN加密流量识别 方法。通过设置2个实验场景,实现了加密流量与非加密流量的识别,并根据流的类型将加密流量 划分为不同的类别,在识别出加密流量的基础上又实现了应用识别和服务类型的识别。最后在公 开数据集ISCXVPN2016上利用不同的机器学习算法进行了对比实验,实验结果表明：使用较短的 流超时值可以提高识别准确率,在流超时值为15 s时结果最优。上述实验结果也证明了时间相关 特征是表征加密流量和VPN流量的良好分类准则。     

基于深度学习的SSL VPN加密流量的分类识别

随着虚拟专用网技术的广泛使用，VPN加密流量的分类识别对于网络安全管理的重要性愈发明显，而传统流量分类技术在提取特征和关键协议字段时效率较低.因此，本文提出一种基于卷积神经网络的深度学习模型，用以实现SSL VPN加密流量的分类识别，并减少特征工程中的人力成本.首先，将流量区分为VPN加密流量和非VPN加密流量，并且确定出这两类流量所属的服务类型；然后对所有流量进行分类，识别出产生流量的应用类型.考虑到网络流量中存在的时序关系，采用一维卷积神经网络作为深度学习的模型，通过构建Pytorch的实验环境，采用ISCX2016数据集，实现对VPN加密流量的分类任务.通过参数优化，除数据量较小的数据类型外，应用识别的平均F1-score为91.73%,流量识别的平均F1-score为91.13%.实验结果表明，基于一维卷积神经网络的深度学习方法对于识别SSL VPN流量是可行和有效的.     

基于事件序列的蠕虫网络行为分析算法

蠕虫以及其他一些恶意代码的更新速度越来越快，如何快速有效地分析大量恶意样本成为网络安全研究的一个问题. 因此提出了一种基于事件序列的蠕虫网络行为自动分析算法. 该算法依靠在实验环境中采集的纯净恶意流量，通过使用数据流的压缩归并等方法获取网络行为的基本轮廓以及网络特征码. 该算法的使用可以加快蠕虫等恶意代码的分析速度，提高防火墙以及网络入侵检测系统的配置效率.