基于随机森林的WebShell检测方法

WebShell根据其功能和大小可以分为多种类型,各种类型的WebShell在基本特征上又有其独有的特征,而现有的WebShell检测大多从单一层面提取特征,无法较全面的覆盖各种类型WebShell全部特征,具有种类偏向性,无差别的检测效果差,泛化能力弱等问题.针对这一问题,提出了一种基于随机森林的WebShell检测方法.该方法在数据预处理阶段分别提取文本层的统计特征和文本层源码与编译结果层字节码（opcode）的序列特征,构成较全面的组合特征,然后通过Fisher特征选择选取适当比例的重要特征,降低特征维度,构成样本的特征集,最后采用随机森林分类器训练样本得到检测模型.通过实验表明,本检测方法能有效地检测WebShell,并在准确率、召回率和误报率上都优于单一层面的WebShell检测模型.     

Linux下基于SVM分类器的WebShell检测方法研究

WebShell是一种常见的网页后门,它常常被攻击者用来获取Web服务器的操作权限。文章首先分析了Linux下WebShell的实现机理,描述了WebShell的常见特征和特征混淆方法,然后以此为基础,提出了一种基于SVM分类器的检测方法,并在仿真平台下对其予以实现。文章从准确度、特定度和灵敏度3个方面比较了基于SVM分类器的WebShell检测方法、基于特征匹配的WebShell检测方法和基于决策树的WebShell检测方法。实验结果表明,文章提出的方法能够准确、高效地对WebShell进行检测。     

基于语义分析和神经网络的WebShell检测方法

论文提出了一种语义分析和神经网络模型相结合的WebShell检测方法,通过对预编译后脚本文件进行语义分析,基于抽象语法树获取脚本文件的行为特征;基于BP神经网络对样本进行有监督学习,得到可用于未知样本的检测模型。不同于现有基于语义分析的检测方法,论文提出的方法无需人工定义恶意行为,从而有效屏蔽各类逃逸技术的干扰。实验证明,论文提出的WebShell检测方法具有较高的准确率和召回率。     

面向高速网络流量的加密混淆型WebShell检测

WebShell 是一种常见的 Web 脚本入侵工具。随着流量加密和代码混淆等技术的逐渐发展,使用传统的文本内容特征和网络流特征进行匹配的检测手段越来越难以防范生产环境下复杂的 WebShell 恶意攻击事件,特别是对于对抗性样本、变种样本或 0Day 漏洞样本的检测效果不够理想。搭建网络采集环境,在高速网络环境中利用数据平面开发套件（DPDK,data plane development kit）技术捕获网络数据包,标注了一套由1万余条不同平台、不同语言、不同工具、不同加密混淆方式的WebShell恶意流量与3万余条正常流量组成的数据集;通过异步流量分析系统框架和轻量型日志采集组件快速地解析原始流量,并融合专家知识深度分析几种流行的WebShell管理工具通信过程中的HTTP数据包,从而构建面向加密混淆型WebShell流量的有效特征集;基于该有效特征集使用支持向量机（SVM,support vector machine）算法实现对加密混淆型 WebShell 恶意流量的离线训练和在线检测。同时,利用遗传算法改进参数搜索方式,克服了由人工经验设置参数方位以及网格搜索陷入局部最优解的缺点,模型训练效率也得到提升。实验结果显示,在自建的WebShell攻击流量数据集上,保证了检测高效性的同时,检测模型的精确率为97.21%,召回率为98.01%,且在对抗性WebShell攻击的对比实验中表现良好。结果表明,所提方法能够显著降低WebShell攻击风险,可以对现有的安全监控体系进行有效补充,并在真实网络环境中部署和应用。     

基于自适应卷积滤波的网络近邻入侵检测算法

深度无线传感组合网络中的近邻路由节点入侵具有载荷快速变化性,难以对新出现的攻击类型和网络异常行为进行有效识别,因此提出一种基于自适应卷积滤波的网络近邻入侵检测算法。在深度无线传感组合网络的传输信道中进行网络流量采集,构建网络入侵信号模型,在时间和频率上分析网络入侵信号的能量密度和攻击强度等特征信息,构建自适应卷积滤波器进行网络传输信息的盲源滤波和异常特征提取;采用联合时频分析方法进行网络近邻入侵特征信息的频谱参量估计,根据频谱特征的异常分布状态进行无线传感组合网络近邻入侵检测。仿真实验结果表明,采用该方法进行网络入侵检测的准确率较高,对未知的网络流量样本序列具有较高的识别能力和泛化能力,且所提算法优于传统的HHT检测算法、能量管理检测方法。     

基于彩色人脸图像的信息融合与识别方法

图像的彩色信息进行图像识别并有效地降低因利用颜色信息所带来的计算量大幅增加问题,提出了一种基于彩色图像的监督近邻保留嵌套的人脸识别方法,通过对图像的彩色信息进行信息融合并利用监督近邻保留嵌套算法来提高人脸识别的效率。首先,采用Gabor变换分别对彩色图像的每个彩色分量图提取Gabor特征;然后采用典型相关分析对所提取的Gabor特征进行特征融合,并采用监督近邻保留嵌套算法对高维彩色图像特征进行降维;最后,采用最近邻分类器对图像进行分类。实验基于XM2VTS和FRAV2D彩色人脸数据库,采用主成分分析、线性判别分析以及监督近邻保留嵌套对基于灰度图像的Gabor特征和基于彩色信息融合的Gabor特征进行降维,其结果说明多信通彩色图像融合技术与监督近邻保留嵌套结合的方法可以显著提高识别系统性能。     

基于2D-KPCA的拉普拉斯特征映射人脸识别*

针对拉普拉斯特征映射(LE)只能保持局部近邻信息,对新测试点无法描述的不足,提出一种基于二维核主成分分析的拉普拉斯特征映射算法(2D-KPCA LE)。与核二维主成分分析算法(K2DPCA)不同,该算法首先对训练样本空间进行二维主成分分析（2DPCA）,在保留样本空间结构信息的同时通过去相关性得到低秩的投影特征矩阵;然后用核主成分分析法(KPCA)提取全局非线性特征;由于其核函数需要大量存储空间,再用拉普拉斯特征映射(LE)进行降维。在ORL和FERET人脸数据库中的仿真实验结果表明,基于2D-KPCA的拉普拉斯特征映射算法不但可以有效处理复杂的非线性特征,又可以降低算法复杂度,提高流形学习的识别率。     

一种基于近邻元分析的文本分类算法

在近邻元分析(NCA)算法的基础上,提出K近邻元分析分类算法K-NCA。利用NCA算法完成对训练样本集的距离测度学习和降维,定义类偏斜因子,引入K近邻思想,得到测试样本的类条件概率估计,并通过该概率进行类别判定,实现文本分类器功能。实验结果表明,K-NCA算法的分类效果较好。     

基于改进LDA和CNN的网络入侵聚类

提出了一种基于改进线性判别分析和近邻法的网络入侵聚类方法,运用改进的线性判别分析方法对网络入侵样本特征进行降维处理,使用近邻分类器对数据进行聚类。该算法降低了算法的聚类时间,还提高了算法的聚类能力。实验结果表明,相比其他模型,该算法有较高的检测率和较低的误警率。     

一种基于高速网络的WebShell综合检测溯源技术研究与实现

WebShell是常见的Web脚本入侵攻击工具。攻击者将WebShell植入网站服务器后可对网站服务器进行控制,获取服务器操作权限。WebShell通常嵌套在正常网页脚本中,具有极强的隐蔽性,对网站自身及访问者带来极大危害。针对这些问题,文章提出一种基于DPDK的高速网络流量分析检测技术,在高速网络环境中对网络流量进行数据包捕获和解析,并通过特征码匹配的方式实现对WebShell的高效检测,同时对WebShell文件和攻击者进行溯源分析。     

基于操作码的安卓恶意代码多粒度快速检测方法

基于操作码的检测方式被广泛用于安卓恶意软件检测中,但存在特征提取方法复杂、效率低等问题。针对此类问题,提出一种基于操作码的安卓恶意软件多粒度快速检测方法,其中多粒度指以词袋模型为基础、函数为基本单位提取特征,通过逐级聚合特征获得 APK 多层级信息,通过对数长度表征函数规模;并基于Dalvik指令集中操作码语义上的相似性对其进行压缩映射以提升效率,构建相应分类模型。测试表明所提方法在性能和效率上均有明显优势。     

基于人工蜂群算法的计算机网络DDoS攻击检测方法

计算机网络在DDoS入侵下容易出现停止服务、网络崩溃,为了提高网络安全性,提出基于人工蜂群算法的计算机网络DDoS攻击检测方法。根据特征样本之间的相关性构建计算机网络DDoS攻击的自适应的入侵检测信息分析模型,根据网络数据流与潜在空间之间的映射关系,结合测试样本和学习样本之间特征差异性进行DDoS攻击数据特征提取,在基站上设置入侵检测数据处理终端,采用人工蜂群算法实现对计算机网络攻击检测的个体最优值和全局最优值寻优,根据人工蜂群的动态寻优和组合优化结果,实现对组合网络流量数据间的攻击信息特征提取和聚类分析,解决计算机网络DDoS攻击检测过程中的连续多变量优化问题。仿真测试结果表明,采用该方法进行计算机网络DDoS攻击检测的寻优能力较好,精度和效率高于传统方法。     

一种基于GOR+GPU算法的机器人视觉导航方法

提出一种一般物体识别(GOR)方法.借鉴词袋(BOW)的统计模型,利用SIFT(尺度不变特征变换)检测算子进行特征向量描述.为了增加信息的冗余度,利用物体部件空间关系的统计信息来描述一幅图片中所有特征点的空间(相对距离和角度)关系,增广了原BOW模型中的特征向量.运用无监督判别分类器支持向量机(SVM)来实现分类识别.与此同时,采用GPU加速技术来实现SIFT特征提取与描述,以保证其实时性.然后,存手绘地图辅助导航的基础上,将该方法成功地应用到室内移动机器人导航上.实验结果表明,基于该方法的机器人导航技术具有较强的鲁棒性和有效性.     

基于深度学习的工业物联网智能入侵检测

如何有效识别工业物联网入侵攻击行为是一个新挑战.针对工业物联网中入侵检测特征提取不高、检测效率低、适应能力差等问题,提出一种基于深度学习的工业物联网智能入侵检测方法.首先,在数据处理上改进采样算法用于调节少数类别样本数量,提高检测精度;其次,构建堆叠降噪卷积自编码网络提取关键特征,结合卷积神经网络和降噪自编码器,加强特征识别能力;为了避免信息丢失和信息模糊,改进池化操作以增加其自适应处理能力,并在模型训练过程中采用Adam算法获取最优参数;最后,采用NSL-KDD数据集测试提出方法的性能.实验结果表明,该方法相比现有的RNN、DBN和IDABCNN的准确率分别提高了3.66%、4.93%和4.6%;与未经采样算法的SDCAENN试验对比,U2R和R2L的检测精度分别提高17.57%和3.28%.     

基于改进神经网络的火车票号识别算法研究

为提高火车票识别精度和效率,将图像处理技术和BP神经网络结合,提出了一种基于图像处理和BP神经网络的火车票号识别算法.首先,通过图像预处理、目标区域的定位、二值化、倾斜校正和字符分割,提取火车票的身份证号码特征信息,建立特征信息库;之后,将特征信息库作为BP神经网络的输入,数字和字符类别作为BP神经网络的输出,建立BP神经网络的火车票号识别模型.研究结果表明,与模板匹配和SVM相比,提出的方法可以有效提高火车票号的识别精度和效率,识别精度高达97.7％,从而为火车票号识别提供新的方法.     

基于色彩和闪频特征的视频火焰检测

基于视频图像的火焰检测是火灾预防的一个重要研究方向。为了提高火焰的检测率,利用RGB和HSI色彩空间中的颜色信息,建立了一种新的火焰色彩模型,应用该模型提取疑似火焰区域。提出了一种基于累积差分RGB三通道的火焰闪频特征抽取方法,并用逻辑回归（logistic regression,LR）对火焰的闪频特征进行分析,得到了优化的权重和偏斜率,建立了火焰闪频特征值的概率模型。最后将概率模型应用于火焰检测。实验结果表明,该算法对火焰区域检测效果好,适用范围广,且能检测出较小的火焰区域。