基于改进的CNN-LSTM的DGA域名检测算法

近年来,网络安全问题层出不穷,其中僵尸网络是造成网络瘫痪的重要原因之一。僵 尸网络利用域名生成算法（DGA）生成大量恶意域名进行网络攻击,对网络安全造成威胁。现有的 DGA域名主要分为字典型和字符型,传统的深度学习方法无法同时检测出两种类型的DGA域名, 尤其是无法检测出基于字典的DGA域名。针对这个问题,本文提出了改进的CNN-LSTM的DGA 域名检测算法,该算法融合了卷积神经网络（CNN）、注意力机制和双向长短时记忆网络（BiLSTM）, 可以同时检测出两种类型的DGA域名。最后进行了不同算法的对比实验,实验结果表明,与其他 深度学习模型相比,该算法提高了DGA域名的二分类和多分类的准确率和F1值。在多分类实验 中,通过改进损失函数,提高了小样本数据的域名检测率。     

基于N-gram和Transformer的DGA恶意域名检测

针对使用域名生成算法(DGA)产生的恶意域名隐蔽性强,传统机器学习检测算法提取特征复杂等问题,提出了基于N-gram和Transformer的恶意域名检测方法。对域名数据添加首尾标志位,使用N-gram算法分割成词组元素后转换为向量输入Transformer模型。该模型能够有效的提取域名的字母组合特征,并且捕捉到域名中字母的位置信息,如域名中的首部和尾部字符、字母间的位置关系等特征,从而更准确的识别恶意域名。实验中使用Alexa的合法域名和360安全实验室采集的恶意域名作为数据样本,使用N-gram算法处理二级域名字符串,并与基于机器学习和深度学习的分类算法进行对比,实验结果表明该算法对DGA域名检测准确率达96.04%,能够有效、准确地识别出恶意域名。     

基于改进Transformer和强化学习的僵尸网络DGA域名检测

针对现有僵尸网络检测方法检测精度不高和检测时间开销较大的问题,提出一种基于改进Transformer和强化学习的僵尸网络域名生成算法(Domain Generation Algorithm,DGA)的域名检测方法。首先,利用深度可分离卷积替换ResNet和ResNeXt网络中的卷积块,通过减少网络模型参数来降低模型的时间开销;其次,利用改进后的ResNet和ResNeXt网络将域名字符串映射到深度特征空间,构造多尺度特征,强化特征的表达能力;再次,利用长短期记忆神经网络(Long Short-Term Memory,LSTM)对Transformer网络进行改进,在保持字符间相对位置的同时,进一步建立上下文的长距离依赖编码,并在此基础上引入注意力机制,强化模型对关键特征的捕获能力;最后,引入强化学习对模型进行微调,提高DGA域名的检测精度。在多个DGA域名数据集上进行测试验证,结果表明该模型在保持检测时间开销较小的基础上,具有更高的检测精度。     

基于word-hashing的DGA僵尸网络深度检测模型

针对使用域名生成算法(DGA)僵尸网络隐蔽性强,传统检测算法特征提取复杂的问题,提出一种无需提取具体特征的深度学习模型DGA域名检测方法.首先基于word-hashing将所有域名转用二元语法字符串表示,利用词袋模型把域名映射到高维向量空间.然后利用5层深度神经网络对转换为高维向量的域名进行训练分类检测.通过深度模型,能够从训练数据中发现不同层次抽象的隐藏模式和特征,而这些模式和特征使用传统的统计方法大多是无法发现的.实验中使用了10万条DGA域名和10万条合法域名作为样本,与基于自然语言特征分类算法进行对比实验.实验结果表明该深度模型对DGA域名检测准确率达到97.23%,比基于自然语言特征分类算法得到的检测准确率高3.7%.     

一种基于深度学习的快速DGA域名分类算法

提出了一种基于深度学习的CNN-LSTM-Concat快速DGA域名分类算法,使用多层一维卷积网络对域名字符进行序列化处理,LSTM网络层用于强化获取字符间长距离依赖关系。通过将LSTM的多序列输入转化为单向量输入,在保证检测性能的前提下,能够大幅提高训练和检测速度。实验证明,我们的方法对DGA域名分类的准率在公开数据集上达到98.32%。同时,在准确率相比主流的LSTM方法更高的情况下,检测时间比LSTM方法快6.41倍。     

基于生成对抗网络的恶意域名训练数据生成方法

当前攻击者广泛采用域名生成算法(DGA)生成大量的随机域名来躲避检测.针对现有的DGA域名检测模型均是在已经公开的数据集上进行训练构建,无法对未知恶意域名进行有效检测的情况,利用真实域名数据训练自编码器,并将自编码器和生成对抗网络相结合,构造了一种新的DGA域名生成模型.实验表明,该模型产生的序列与Alexa域名在长度和字符分布等特征都很接近,而且能够有效降低基于长短期记忆网络的DGA域名分类器的性能.这些生成序列很好地丰富了恶意域名数据集,对其进一步利用,显著提升了现有DGA域名检测器的性能.     

基于深度学习的虚假域名检测

为了检测恶意程序中的虚假域名,便于识别僵尸网络和恶意程序,提出一种基于深度学习的虚假域名检测模型;该模型以域名字符串的字符序列为输入,利用一维卷积神经网络和自注意力机制,分别挖掘字符序列中各字符之间的局部依赖信息和全局依赖信息,将两者拼接在一起得到组合特征向量;借助多层感知机,得到待检测域名属于不同域名类别的概率.仿真...     

基于自注意力机制的网络流量异常检测方法

网络中异常流量的有效检测对网络安全至关重要.以机器学习方法为主的异常流量检测技术,对流量数据采用特征选择方法进行降维并提取最优特征,但容易忽略数据特征之间的关联性,存在异常流量的检测率低、误报率高等问题.为了提高异常流量检测性能,论文在提取流量数据特征的过程中引入自注意力机制进行相关性学习,并结合深度卷积神经网络提出一种有效的网络流量异常检测模型.实验结果表明：通过引入自注意力机制,论文所提出的检测方法能够提取更准确的流量特征,并使得异常流量检测率高、误报率低.     

基于均值中心孪生卷积神经网络的DGA域名识别

相比于大多数仅依赖域名的特征进行DGA域名识别方法的特征值选取有限、分类准确度较低的问题，提出了利用数字证书和域名共同解析的特征向量识别DGA域名的方法.另外，为了提升计算准确度和时间效率，提出了带有均值中心的孪生卷积神经网络——MCSCNN模型，用于DGA域名的分类识别中.将所提出的方法应用于20种DGA域名的分类识别中，得到的准确度(A),精确度(P),召回率(R)以及F1值(F1)结果分别是98.35%,98.11%,98.38%以及98.42%,比对比算法的最优值分别提高了5.68%,4.76%,7.24%以及4.2%.在时间效率上MCSCNN所用时间只是对比算法最优时间的1/108,极大地提升了运算效率.     

基于 PCA 和 ELM 的网络入侵检测技术

针对基于传统 BP(Back Propagation)神经网络算法的入侵检测技术收敛速度慢和检测率不高的问题, 提 出了一种基于主成分分析(PCA: Principal Component Analysis)和极限学习机(ELM: Extreme Learning Machine ) 算法相结合的入侵检测方法。 对提取的特征矩阵采用了 PCA 降维, 并使用 ELM 算法对 4 类常见的攻击类型进 行了多分类检测。 实验结果表明, 该方法正确率高达 98. 337 5%, 检测时间仅 1. 851 7 s, 与传统方法相比缩短 了 2 ~6 倍, 同时还提高了检测率和精度, 降低了误报率和漏报率。 最终改善了正确率、 误报率、 漏报率、 检测 率、 精度和测试时间 6 项指标。     

基于自适应免疫分类器的入侵检测

由于采用传统的分类器进行检测时,存在检测率低而误报率高的问题.提出了一种基于免疫聚类的自适应分类器方法,采用多信息粒度的思想有效地克服了聚类算法与分类算法间的不一致性.通过在真实网络数据集上对多种入侵行为的检测结果表明:该分类器的检测率高、漏报率和误报率低,较RBF分类器和BP分类器具有更好的分类性能和推广性能.     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

采用HOG特征和机器学习的行人检测方法

针对基于方向梯度直方图(HOG)/线性支持向量机(SVM)算法的行人检测方法中存在检测速度慢的问题,提出一种将HOG特征与Adaboost-BP模型相结合的行人检测方法.利用边缘检测技术快速检测出行人候选区域,提取出多尺度多方向的HOG特征,利用Adaboost算法训练多个反向传播神经网络用于构建强分类器,实现对测试样本图像的检测识别.结果表明:文中方法具有更高的检测率、更低的误报率和漏检率,具有较好的检测效果.     

基于注意力机制的水下目标检测算法

针对传统水下目标检测算法识别精度低的问题,提出一种基于注意力机制的水下目标检测算法(feature refinement and attention mechanism network,FRANet).该算法采用特征融合模块和特征增强模块相结合的方式,使用卷积神经网络提取目标的多尺度特征.同时引入一种由锚框精化模块、空...     

基于SAT-GCN的花样滑冰选手动作检测算法研究

针对花样滑冰运动人体运动轨迹复杂、动作类型多样、普通人肉眼难以区分且常规的行为识别方法识别准确率低的问题，提出了一种基于时空图卷积网络与多通道注意力机制融合方法 (SAT-GCN)的花样滑冰动作识别算法。该算法首先将视频提取成连续的单独帧，使用OpenPose算法提取人体骨骼关键点数据，降低背景噪声干扰；然后使用时空图卷积算法对骨骼关键点数据进行动作分类。算法对时空图卷积算法进行改进，加入了多通道时空注意力机制融合模块，使得模型更加关注重要的关键点、时间帧片段、特征；使用时序卷积网络(TCN)提取人体骨架关键点在时间序列上的特征；使用SoftMax对提取后的特征进行动作分类。在花样滑冰数据集FSD-10和公开的人类行为数据集Kinetics-Skeleton上进行训练和测试，与改进前的时空图卷积网络(ST-GCN)进行对比，本文所提算法的预测准确率在2个数据集上均有所提升，验证了多通道注意力机制融合方法在花样滑冰选手动作检测任务中的有效性。     

用于场景分类的显著建筑物区域检测

为了实现城市区域内室外场景的快速分类,提出了一种基于视觉注意力选择机制的显著建筑物区域检测方法.该方法首先通过Gabor算子对图像进行滤波,得到水平方向与垂直方向的联合增强图像,然后利用基于相位傅里叶变换(Phase Fourier Transform, PFT)的显著性映射算法提取视野中的显著建筑物候选区域,最后通过方向直方图判别算法去除干扰目标,并采用CV (Chan Vese)模型实现显著建筑物区域的分割.该方法在注意力选择机制及建筑物方向特征的基础上,提取具有场景代表性的建筑物区域信息,增强了算法的时效性和场景分析能力,同时实现了区域信息在像素级上的精确检测,并将其应用于美国南加州大学的多类室外场景数据库.实验结果表明,显著建筑物区域检测方法在检测结果、计算速度和鲁棒性等方面均取得了较为满意的效果.     

基于SSAE-PNN算法的网络入侵检测研究

针对常用的入侵检测算法的收敛速度慢和误报率高的问题,本文提出一种基于栈式稀疏自编码器(SSAE)和概率神经网络(PNN)的入侵检测方法.首先,使用栈式稀疏自编码器对数据进行特征提取,获得低维、深层次的特征集,从而降低检测结果的误报率;然后,使用收敛速度快的概率神经网络对特征集分类,减少了训练模型的时间.本文使用NSL-KDD数据集对模型进行验证,实验结果表明,与其他入侵检测算法相比,SSAE-PNN模型取得了更优秀的检测效果.     

基于语言模型及循环卷积神经网络的事件检测

目前,事件检测的难点在于一词多义和多事件句的检测.为了解决这些问题,提出了一个新的基于语言模型的带注意力机制的循环卷积神经网络模型(recurrent and convolutional neural network with attention based on language models,LM-ARCNN).该模型利用语言模型计算输入句子的词向量,将句子的词向量输入长短期记忆网络获取句子级别的特征,并使用注意力机制捕获句子级别特征中与触发词相关性高的特征,最后将这两部分的特征输入到包含多个最大值池化层的卷积神经网络,提取更多上下文有效组块.在ACE2005英文语料库上进行实验,结果表明,该模型的F1值为74.4%,比现有最优的文本嵌入增强模型(DEEB)高0.4%.     

基于SVM-RFE和粒子群优化算法的恶意域名检测模型

域名解析作为网络建立连接的第一个步骤,对恶意域名进行快速识别是阻断异常网络行为的有效措施。本研究利用机器学习和随机搜索算法,提出了一种基于SVM-RFE和粒子群优化算法的恶意域名检测模型。分析域名字符特征、解析特征和注册特征,使用SVM-RFE算法进行特征权重排序,通过优化的粒子群算法确定最佳SVM参数和特征选择。实验证明该检测模型具有较好的效率和准确度。     

认知无线电中一种基于循环谱的信号功率检测算法

为了提高信号功率的检测精度,在循环谱分析的基础上提出了一种基于循环谱的信号功率检测算法,该算法利用循环谱技术的谱分离特性在噪声中精确提取接收信号功率,并以M PSK信号为例给出了该算法详细的理论分析。计算机模拟仿真结果表明,无论是在高信噪比还是在低信噪比条件下,基于循环谱的接收信号功率检测算法的检测精度相比传统的检测方法均有较大的性能增益。该算法具有很好的应用前景。