基于BiLSTM-Attention-CNN的XSS攻击检测方法

在基于深度学习XSS检测的研究中,双向长短期记忆网络(BiLSTM)和CNN模型均无法区分输入特征信息中关键特征和噪音特征对模型效果的影响。针对这一问题,引入注意力机制,提出一种将BiLSTM和CNN相结合的XSS检测模型。首先利用BiLSTM提取XSS攻击载荷双向序列信息特征,然后引入注意力机制计算不同特征在XSS检测中的权重,最后将加权后的特征向量输入CNN提取局部特征。实验表明BiLSTM-Attention-CNN相比SVM、ADTree、AdaBoost机器学习算法分别提高了9.45%、7.9%和5.5%的准确率,相比单一的CNN、GRU、BiLSTM提高了检测精度,相比BiLSTM-CNN在保持检测精度的同时减短了5.1%收敛时间。     

基于CUSUM算法的LDoS攻击检测方法

低速率拒绝服务LDoS攻击具有流量发送速率低、隐蔽性强、具有突发性以及造成危害大的特点,融入正常流量中难以被传统的DoS攻击检测机制发现.针对该攻击方式突发性特点,分析路由器受到LDoS攻击时流量特征的统计异常,将路由器入口流量的均值与正常阈值相比较,提出了基于累积和CUSUM算法的检测方法.该方法基于突变假设检验,对到达流量分析变点前后流量的累积和特征,通过将分析得到的累积和与设定的门限值比较来实现LDoS攻击的检测.实验通过调整算法参数来优化检测性能,通过基于NS-2搭建的仿真实验平台表明,该方法具有较好的检测性能.     

基于自适应攻击树的木马检测方法

本文研究并总结出木马攻击行为的规律,通过静态分析PE文件提取出程序运行时调用的API,用木马攻击中常见的危险系统调用序列来建模一个动态攻击树,将分析PE文件得到的API调用集合与建立的攻击树进行匹配,有效的区分木马文件和正常文件,并能根据检测结果对攻击树进行动态的调整,以不断提高攻击树对未知病毒的检测能力。     

基于移动模糊推理的DoS攻击检测方法

通过对入侵检测中模糊技术应用和移动模糊推理方法的研究,设计并实现了基于移动模糊推理的DoS攻击入侵检测系统.首先,描述了移动模糊推理方法与模糊推理步骤;其次,详细阐述了用时间差与IP地址分布变化的DoS攻击检测方法与基于移动模糊推理的攻击检测系统,创建了用于检测的模糊规则,确定网络攻击.最后,把DoS攻击工具与DARPA 98数据集作为入侵检测数据集,对基于移动模糊推理的方法与现行方法进行测试,验证了所提方法的有效性.     

基于贝叶斯网络的XSS攻击检测方法

跨站脚本(XSS)攻击是最严重的网络攻击之一.传统的XSS检测方法主要从漏洞本身入手,多依赖于静态分析和动态分析,在多样化的攻击载荷(payload)面前显得力不从心.为此提出一种基于贝叶斯网络的XSS攻击检测方法,通过领域知识获取该网络中的节点.利用领域知识构建的本体为贝叶斯网络的构建提供良好的特征选择基础,并从中提取了17个特征,同时从公开渠道搜集的恶意IP和恶意域名为该模型及时检测新型攻击补充有力规则.为验证所提方法的有效性,在实际收集的XSS攻击数据集上进行实验,结果表明,在面对多样化的攻击时,该方法可以保持90%以上的检测准确率.     

基于行为分布的DDoS攻击检测方法

分布式拒绝服务(distributed denial of service,DDoS)攻击能够在短时间内产生巨量的数据包耗尽目标主机或网络的资源,经过研究发现这些伪造的数据包在一个特定的时间内有着合法数据包所不具备的函数特点。因此,本文提出了行为分布的模型,一旦有可疑流流入服务器,则开始计算这些可疑流的行为分布差异,如果该差异小于一个设定的阈值,则判断有DDoS攻击发生;反之则为合法的数据访问。根据NS-3的模拟实验,证明该模型能够有效的从合法访问中区分出DDoS攻击流,对提前控制DDoS攻击的发生具有重要的意义。     

基于决策树的DDoS攻击检测方法研究

采用决策树中的ID3算法,提出一种基于数据挖掘技术的DDoS攻击检测方法.该方法从被监控网络采集的数据中提取网络流量特征设计检测系统,较好地解决了网络流量分析中数值属性特征的分类问题.实验结果表明该系统能有效检测网络中发生的DDoS攻击行为.     

基于改进胶囊网络的过程控制攻击检测方法

为解决传统入侵检测算法无法准确识别过程控制攻击的问题,提出一种基于改进胶囊网络的过程控制攻击检测方法。该算法利用多层卷积在提取复杂输入特征方面的优势,将原始流量转化为灰度图像进行初级特征提取;同时引入残差连接以解决梯度消失问题,利用胶囊网络特有的动态路由机制对初级特征进行聚类。使用2017 QUT＿S7comm数据集进行实验。结果表明：所提方法在测试集上的准确率可达94.64%,在验证集上对各类攻击的识别准确率均在90%以上,实验证明所提方法可以有效预防针对工控系统的过程控制攻击。     

基于LSTM流量预测的DDoS攻击检测方法

提出一种基于长短时记忆(LSTM)神经网络流量预测的分布式拒绝服务(DDoS)攻击检测方法.首先定义了IP数据包统计特征(IPDCF)来表征网络流特征,然后采用LSTM神经网络模型对IPDCF时间序列进行建模,且使用网格搜索和超参数最优法确定Dropout的值以缓解该模型的过拟合现象,最后建立基于IPDCF时间序列的LSTM模型来识别DDoS攻击.实验结果表明:该模型能够准确地预测正常网络流量变化趋势,识别DDoS攻击引起的异常;与同类方法相比,该方法能较早地检测DDoS攻击且漏报率和误报率更低.     

基于网络流量自相似的DDoS攻击检测方法

分布式拒绝服务攻击(DDoS)是目前黑客经常采用并极为有效的网站攻击手段。本文在验证局域网流量具有严格自相似性的同时,介绍了常用的Hurst参数计算方法。通过大量实验研究了DDoS攻击对Hurst系数产生的定量影响,并在实验数据分析的基础上,提出了攻击发生和结束的准确判据。实验结果显示,该方法性能良好。     

基于粒子群优化的检测网络攻击方法

为了有效判断网络数据包是否存在被攻击的可能性,在以往的研究基础上提出了一种新的检测算法DMPS(Detection method based of particle susarm)。首先该算法根据数据包属性的离散度定义了状态检测指标,并利用粒子群优化方法给出了标准差分布的计算流程,以此判断数据包的异常状况。最后,通过OPNET和Matlab进行仿真实验,深入研究了影响该算法的关键因素,同时对比了与其他算法之间的性能状况,结果表明DMPS具有较好的适应性。     

基于状态机的802.1X协议攻击检测方法

针对802.1X协议存在一定漏洞且易受重放、拒绝服务等攻击,结合802.1X协议的认证过程,抽象出802.1X协议认证的状态转移过程,同时针对802.1X协议的功能性攻击,构造出一套攻击状态转移机制:分析802.11报文和基于局域网的扩展认证协议(EAPOL)/扩展认证协议(EAP)报文的结构;剔除出重传的报文,逐个字段解析出关键字并存入链表中;将根据EAPOL/EAP报文格式取得检测所需的EAP报文存入缓存.据此,设计出基于状态机的802.1X的攻击检测方法.实验结果表明,在实际组网环境下的重放/DoS等802.1X功能性攻击能够得到准确的检测,并具有有效、统一的检测结果.     

基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

网络扫描攻击以及拒绝服务攻击的检测方法

网络扫描攻击和拒绝服务攻击是2种非常重要的攻击类型，而且检测比较困难，分析了它们的共同特征，提出了运用计数器的检测方法，并设计实现了一个高效的计数器算法。     

面向drive-by-download攻击的检测方法

针对隐藏在混淆JavaScript代码中的drive-by-download攻击很难被检测的问题,深入分析了混淆JavaScript代码以及drive-by-download攻击的静态和动态行为特征,设计并实现了只需正常行为数据进行训练、静态分析与动态分析相结合的异常检测原型系统.首先,静态分析以代码混淆度为特征,利用主成分分析(PCA)、最近邻(K-NN)和one-class支持向量机(SVM)三种算法检测出混淆JavaScript代码.其次,动态分析从JavaScript代码中获取的变量初值和变量终值,以变量初值和变量终值中提取的9个特征作为检测混淆代码中具有drive-by-download攻击的动态行为特征.从实际环境中收集了JavaScript正常与混淆恶意代码共7.046 3×104条.实验结果表明:选用PCA算法时,在误报率为0.1%的情况下,系统对混淆drive-by-download攻击能达到99.0%的检测率.     

基于攻击图的计算机网络攻击建模方法

随着网络大规模的发展,网络入侵技术也在不断的进步,网络攻击也变得日益复杂,计算机网络攻击建模能够有效的帮助人们对网络攻击的路径进行分析.通过对网络攻击图的建模算法进行研究,对网络攻击图的模型特征和关键技术、复杂性等特征进行探究,并综合的分析了网络攻击图在未来计算机网络发展中的应用.     

基于负载预测的分布式拒绝服务攻击检测方法研究

通过分析分布式拒绝服务攻击(Distributed Denial Of Service,DDOS)的特点,提出一种基于主机负载-并发连接时间序列预测的DDOS攻击检测方法。该方法改进了传统的异常检测方法,对并发连接序列进行预测,以预测值作为对未来时段内主机负载正常状态的估计,增强了正常行为描述的时效性,提高了攻击检测率,并具有低延时特性。该方法涉及两项关键技术:一是预测技术,二是异常判断方法。为提高预测精度,首次将小波分析引入主机负载预测,建立了小波-神经网络预测模型;为提高异常判断准确性,采用了“滑动窗口”方式。实验表明,基于负载预测的DDOS攻击检测优于传统的异常检测方法。     

基于报警数据融合的智能电网攻击检测方法

智能电网中信息技术的广泛使用为攻击者提供了更多的途径入侵和攻击电力系统,这已成为智能电网安全的最大隐患之一。提出了一种基于异常数据融合的智能电网攻击检测方法,通过入侵检测系统发现信息网络中的异常流量,利用标准化残差方法检测电力系统中的异常量测数据,通过关联信息网络和物理系统的异常报警数据来检测智能电网攻击事件。仿真实验表明该方法可以消除入侵检测与标准化残差检测产生的大量错误报警,显著提高智能电网攻击的检测精度。     

基于污点分析和符号执行的漏洞签名生成方法

漏洞签名是指触发程序漏洞的输入的集合,利用漏洞签名对程序输入进行过滤是一种有效的保护漏洞程序的方法。该文主要研究漏洞签名的生成技术,提出了一种有效的基于污点分析和符号执行的漏洞签名生成方法,它通过污点信息传播定位输入中的与触发漏洞相关的字节,然后,通过符号执行得到路径约束,并通过约束求解得到最终的漏洞签名。基于开源项目Pin和Z3,该文构建了基于污点分析和符号执行的漏洞签名生成原型系统TASEVS,并对漏洞程序进行了验证。实验结果表明,TASEVS能有效地生成漏洞签名。