命名数据网络中Interest洪泛攻击检测与防御

根据命名数据网络使用数据名称进行数据转发的特性,目前NDN中出现了一种基于兴趣包洪泛攻击的分布式拒绝服务攻击,对NDN网络危害较大.针对IFA,提出了一种基于Poseidon的改进方法——PAP,检测NDN路由器接口是否存在IFA,并构建interest包超时未响应表判断疑似恶意前缀.若存在IFA,则概率性限制该接口接收名称包含疑似恶意前缀的interest包速率,仿真结果表明PAP能够有效缓解IFA.     

NDN中基于神经网络的兴趣洪泛攻击综合防御方案

命名数据网络(named data networking, NDN)中的请求-应答通信模式及有状态的转发滋生了新的分布式拒绝服务(distributed denial of service, DDoS)攻击方式—兴趣洪泛攻击(interest flooding attack, IFA)。IFA是NDN中主要的拒绝服务威胁,虽然IFA防御方案被广泛研究,但目前缺乏系统的解决方案。针对这一问题,基于粒子群优化的后向传播神经网络算法提出一种新的IFA检测方法,并结合基于基尼不纯度的恶意前缀识别方法和兴趣包回溯方法来缓解攻击危害,形成一种综合的防御方案。通过ndnSIM仿真实验证明,提出的方案不仅可以准确检测和有效防御IFA攻击,而且解决了基于窗口检测方案无法检测连续攻击的问题。     

内容中心网络中基于熵率的攻击防御方法

兴趣包泛洪攻击通过耗尽路由器中待定兴趣表的资源从而对内容中心网络(content centric networking, CCN)产生严重的影响,目前的攻击防御方法主要是基于待定兴趣表的异常状态统计,但这些方法容易对合法用户产生误判,导致用户体验变差,因此针对内容中心网络中检测和防御兴趣包泛洪攻击的问题,提出基于信息熵和熵率的攻击防御方法。利用CCN中用户请求内容名称的随机性检测兴趣包泛洪攻击,再通过信息熵的差值识别恶意名称前缀,并向相邻节点发送包含恶意名称前缀信息的通知包,从而进行协同防御。仿真结果表明,与传统防御方法相比,在尽早检测出攻击的前提下,该方案能将突发流与攻击流进行区分,并快速抑制恶意兴趣包的转发,有效减少网络攻击造成的影响。     

命名数据网络中基于信息熵的Interest洪泛攻击检测与防御

在命名数据网络中,兴趣包洪泛攻击通过向网络发送大量恶意interest包来消耗网络资源,从而对NDN造成较大危害.针对目前所提出的IFA攻击检测与防御方法存在攻击模式单一、在应对复杂攻击模式时效果不明显等局限,提出一种基于信息熵的改进方法(EIM),该方法通过与NDN路由器相连的用户的信誉值和信息熵相结合来限制攻击者发送的恶意interest包,很好地解决了现有方法在应对复杂的攻击模式时的局限性.仿真结果表明EIM较信息熵方法能够更有效地缓解IFA.     

基于聚类的兴趣区域间异常轨迹并行检测算法

轨迹异常检测能够用来分析移动对象的异常运动行为,在交通运输、医疗监护等领域都有广泛应用.兴趣区域是移动对象集中活动的区域.本文提出了一种新的兴趣区域间异常轨迹检测算法(Detecting Anomalous Trajectories Between Interest Regions,DATIR).不同于已有的从局部采样点进行检测的算法,DATIR算法综合考虑了轨迹的局部特征和全局特征,利用聚类方法检测兴趣区域间的异常轨迹,并能挖掘出兴趣区域间的正常路径.为了提高海量轨迹数据的异常检测效率,在DATIR算法的基础上,提出了一种并行检测算法(Parallel Algorithm for Detecting Anomalous Trajectories Between Interest Regions,PDATIR).实验结果表明,DATIR算法能够有效地检测兴趣区域间的异常轨迹,并且能够检测出兴趣区域间的正常轨迹;PDATIR算法在大数据集上表现出了明显的性能优势,具有较好的可扩展性和较高的加速比.     

基于改进动态源路由协议的MANET灰洞攻击检测和缓解研究

针对移动自组网络易遭受灰洞攻击的问题,提出一种改进动态源路由协议来检测和缓解灰洞攻击。首先,建立一种入侵检测系统(IDS),IDS节点仅当检测到灰洞节点时才设置为混杂模式;然后,通过检测节点转发数据包数目的异常差来检测恶意节点,当检测到异常时,附近的IDS节点广播阻塞消息,通知网络上的节点共同隔离恶意节点;最后,利用Glomosim工具进行的仿真实验验证了所提方法的有效性,该方法的平均丢包率仅为12.5%,端到端传输延时仅为0.116 s,比较表明,所提方法优于其他几种现有灰洞攻击检测方法。     

命名数据网络分级命名路由仿真实验研究

利用仿真工具Mini-CCNx,设计并实现了命名数据网络(NDN)中基于分级命名机制的路由仿真实验,通过设置不同的名字前缀来测试Interest包的响应情况,实验结果显示了NDN中基于分级命名机制的Interest包在路由和转发上的特点及优势.     

基于遥感的合肥市建成区时空变化分析

通过对恶意代码行为和特征提取技术的分析,提出了基于虚拟环境下实现恶意代码检测的方法,设计了相应的检测系统;利用虚拟化技术,通过Docker容器简化检测环境的配置,增强了代码检测的隔离性、安全性;并建立相应的实验平台开展测试,为检测恶意的网络行为提供了支持。     

面向车联网泛洪攻击的流量异常检测方法

为了有效检测车联网环境下的泛洪攻击,缓解泛洪攻击对车联网的不良影响,该文提出了面向车联网环境下针对泛洪攻击的轻量化流量异常检测方法。通过在路侧单元使用Hurst自相似参数估计方法计算车联网数据包流量的自相似变化曲线,检测流量异常变化,并上传异常时段的数据包信息到云端,云端统计各节点发送数据包情况,通过检测数据包大小异常变化来检测发起泛洪攻击的恶意节点。通过对车联网实际网络流量仿真计算结果表明,该流量异常检测方法能在低中高3种泛洪攻击强度下,有效检测出恶意节点。     

基于静态分析的TVOS恶意应用检测方法研究

TVOS是一种新型的智能电视操作系统,针对当前TVOS应用分析相关工作较少,并且缺乏相应TVOS恶意应用检测方法的问题,全面深入分析TVOS应用,并提出有效的TVOS恶意应用检测方法.由于TVOS兼容Android应用,但又具有面向广电行业及媒体融合的特点.首先,基于静态特征深入研究了TVOS应用与Android应用的区别.其次,以TVOS的典型应用市场欢视网为例,分析并检测了欢视网应用市场中3 425个应用.再次,量化分析应用的静态特征,并使用支持向量机、逻辑回归、决策树、随机森林等4种机器学习方法对应用进行检测.最后,深入分析检测结果,讨论了基于静态特征的TVOS恶意应用检测方法的可行性与局限性.实验结果表明,所提出的基于支持向量机的TVOS恶意应用检测方法在误报率为0.54%的条件下,能够有效检测出98.67%的潜在恶意应用.     

选择性丢弃攻击检测方案

在无线传感器网络中,针对被俘获的恶意节点发动的丢弃合法数据包的攻击行为,提出了选择性丢弃攻击检测方案.该方案使用邻居检测点监听转发节点是否转发了数据包,防止数据包被恶意的丢弃.检测点在发现转发节点恶意丢包行为时,会执行转发数据包的任务,同时生成警报信息给BS节点.BS节点收到一定数量的警报信息,采取相应的措施隔离恶意节点.仿真结果表明,该方案能够很好的抵御恶意节点的丢包行为.     

OFDM移动通信系统中的最大多普勒频移估计

为了估计移动正交频分复用(OFDM)系统中衰落信道下的多普勒干扰,提出了利用OFDM符号的循环前缀检测最大多普勒频移的方法.在已有的单载波系统多普勒估计算法的基础上,结合OFDM符号已有的循环前缀,通过计算循环前缀的归一化自相关函数,得到最大多普勒频移.在衰落信道下的计算机仿真结果表明,该算法可以准确地估计出最大多普勒频移.该方法只需利用OFDM符号的循环前缀,不需要其他辅助数据或者插入导频,可以方便地应用于现有OFDM系统中.     

一种数据库入侵检测模型的设计

为检测数据库管理系统中的异常事务,提出了一种新的数据库入侵检测模型.该模型运用数据挖掘方法从用户历史会话记录中挖掘用户SQL模板频繁序列,构建用户轮廓.检测时依据用户会话异常度来判断是否发生入侵,既可以有效检测异常事务,又可以避免因为一两次误用把无辜用户误认为恶意攻击者.该模型检测粒度得当,维护较简单.     

采用函数调用关系的注入型Android恶意应用检测

针对注入型Android恶意应用日益泛滥、传统检测方法依赖大量已知特征的问题,提出了采用函数调用关系的注入型Android恶意应用检测方法。该方法无须依赖大量已知特征,仅通过分析注入型Android恶意应用的自身结构特征即可实现对该类恶意应用的有效检测,并能够实现对未知恶意代码家族的识别。所提方法在smali代码的基础上构建函数调用关系图,并进一步进行子图划分,通过判定各子图威胁度确定是否存在恶意行为。检测过程无需动态行为分析辅助,因此分析检测时间短、效率高。该方法不仅可以检测出Android应用是否存在恶意行为,还可根据子图威胁度确定包含恶意行为的具体代码。经过对1 260个Android恶意应用和1 000个正常应用的实验分析发现:所提方法能够很好地检测注入型Android恶意应用,当误报率为8.90%的时候,检测率达到95.94%,相对于主流Android恶意应用检测系统Androguard,检测效果有显著提升。     

基于多特征融合的恶意网页检测方法研究

随着恶意网页数量的逐年递增,传统恶意网页检测技术表现出了较大的局限性.因而基于机器学习的检测技术被引入,该技术的关键是有效网页特征的选取.在分析提取传统网页特征URL、HTML和JavaScript代码特征的基础上,融合网页文本内容特征(Text特征),基于机器学习提出一种多特征融合的恶意网页检测方法.通过互信息法、F-检验法、递归特征消除法3种特征选择算法验证得到所提Text特征更具强相关性.其中,RF算法在URL、HTML、JavaScript与Text特征的混合特征集上对恶意网页检测的效果最好,该方法与前人工作相比具有更高的准确性与可靠性.     

基于生成式零样本学习的未知恶意流量分类方法

未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.     

基于增强LEACH协议的无线传感器网络恶意节点检测模型

针对现有无线传感器网络恶意节点检测方法效率较低的不足,提出一种基于增强低功耗自适应集簇分层（enhanced low energy adaptive clustering hierarchy,enhanced LEACH）路由协议信誉机制的恶意节点检测（malicious node detection based on enhanced LEACH with reputation,MNDELR）模型.在无线传感器网络中使用增强LEACH路由协议选取簇首节点,其余节点选择对应簇首形成各簇集群并确定网络数据包传递路径.节点在数据包内添加节点编号、信誉评价等信息并按传递路径将数据包发送至汇聚节点;汇聚节点解析获取数据包内节点编号并与源节点编号比较判定,形成可疑节点列表;计算节点信誉值并与阈值比较判定网络中的恶意节点.实验结果表明,与其他方法相比,MNDELR模型在无线传感器网络中对恶意节点的检测效果较为显著.      

四阶段端到端的用户异常用电模式检测网络

为减少输配电过程中用户异常用电行为所造成的经济损失,提出了一种新颖的端到端的用户异常用电检测网络模型,该模型基于主成分分析网络（Principal Component Analysis network,PCANet）.与传统PCANet不同的是,其中采用四阶段特征映射模型.通过前三阶段特征映射提取网络获取用户用电数据中的正常、异常用电序列特征.该过程中,为了提高PCANet的检测精度,将第一阶段PCA所获取的特征通过下采样嵌入到第二阶段PCA中.将第三阶段PCA输出作为第四阶段小波神经网络（Wavelet neural networks,WNN）的输入,从而进一步了提高模型的检测精度.通过实验对比分析文中所提方法与传统异常用电检测方法表明：所提出的方法具有更高的检测准确性与鲁棒性,可以有效检测出用户异常用电行为.     

应用交互式网络流模型的高速网络异常行为检测与控制

针对网络异常流量的检测与定位问题,提出了一种根据网络流统计量异常变化和不完整网络流来有效识别并定位网络异常流量的方法.该方法建立在交互式网络流模型的基础上,分析了交互式网络流模型下各种网络流的交互特征;为准确实时获取网络异常源,采用中国余数定理,设计了连接度sketch结构中的哈希函数,满足了网络用户信息逆向求解的需要,实现了高速网络中异常网络流特征参数的实时获取;为减缓网络异常行为的扩散速度,提出采用动态软隔离方法实现网络异常行为的控制.真实环境下的实验结果表明,所提方法对于多种类型的网络异常行为具有良好的检测效果,检测的准确率和速率都得到了提高,同时可以准确地定位网络异常源,为有效控制网络异常行为的扩散奠定了基础.     

基于动态API调用序列和机器学习的恶意逃避样本检测方法

针对恶意逃避样本的逃避行为进行分析,归纳并总结了恶意逃避样本常用的逃避API函数集,提出了一种基于动态API调用序列和机器学习的恶意逃避样本检测方法。在特征工程处理阶段,提出了逃避API函数权重衡量算法,并通过优化词频处理来增强逃避API函数的特征向量值,最终本文方法检测恶意逃避样本的准确率可达95.09%。