基于shell命令和多重行为模式挖掘的用户伪装攻击检测

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能.     

一种基于粗糙集理论的数据库入侵检测模型

提出了一种可以检测数据库管理系统中异常事务入侵检测模型.该模型运用粗糙集理论从用户历史会话中提取用户正常行为轮廓,并利用散列算法来加速SQL模板的匹配,既可以有效检测异常事务,又可以避免因为一两次误用而把无辜的用户误认为是恶意攻击者.对模型的性能做了测试和分析.     

基于深度时空卷积神经网络的人群异常行为检测和定位

针对公共场合人群异常行为检测准确率不高和训练样本缺乏的问题,提出一种基于深度时空卷积神经网络的人群异常行为检测和定位的方法。首先针对监控视频中人群行为的特点,综合利用静态图像的空间特征和前后帧的时间特征,将二维卷积扩展到三维空间,设计面向人群异常行为检测和定位的深度时空卷积神经网络;为了定位人群异常行为,将视频分成若干子区域,获取视频的子区域时空数据样本,然后将数据样本输入设计的深度时空卷积神经网络进行训练和分类,实现人群异常行为的检测与定位。同时,为了解决深度时空卷积神经网络训练时样本数量不足的问题,设计一种迁移学习的方法,利用样本数量多的数据集预训练网络,然后在待测试的数据集中进行微调和优化网络模型。实验结果表明,该方法在UCSD和subway公开数据集上的检测准确率分别达到了99%和93%以上。     

基于网络流统计数据的伪装入侵检测

伪装入侵是指非授权用户伪装成合法用户进入系统访问关键数据或执行非法操作的行为,现有伪装入侵检测方法大多通过获取用户敏感数据对用户特征进行建模。针对上述问题,提出一种基于网络流统计数据的伪装入侵检测方法,使用网络流统计数据作为用户特征,并结合AdaBoost与支持向量机对用户特征进行训练与预测。在一个真实网络抓包数据集上的实验结果表明,该方法能在有效抵御伪装入侵的同时不侵犯用户隐私,系统检测率为97.5%、误报率为1.1%,且系统检测延时仅为毫秒级,证明了其检测性能优于现有伪装入侵检测方法。     

基于HMM的数据库异常检测方法

随着数据库系统在企业的普遍使用,以及数据库的作用日益重要,数据库的安全问题也随之变得更加严峻。探讨了数据库系统的安全问题,阐述了数据库异常检测系统的重要性,详细研究了隐马尔可夫(HMM)模型,介绍了HMM模型的参数估计的方法。运用HMM模型对数据库系统的事件序列进行建模,以数据库系统日志作为训练集,建立正常状态下的用户行为轮廓,并以当前用户事件的最大似然概率与正常用户行为轮廓的偏离程度来检测异常。     

基于图分析和支持向量机的企业网异常用户检测

在企业网络中,若其内部的攻击者获得了用户的身份认证信息,其行为与正常用户将很难区分;而目前研究对于企业网中的异常用户检测方法比较单一,召回率不高。用户的认证活动信息直接反映了用户在网络中与各类资源或人员的交互,基于此,提出一种利用用户认证活动信息来检测网络中异常用户的方法。该方法利用用户的认证活动生成用户认证图,之后基于图分析方法提取认证图中的属性,如图的最大连通组件的大小、孤立认证的数量等,这些属性反映了用户在企业网中的认证行为特征。最后利用有监督的支持向量机（SVM）对提取到的图属性进行建模,以此来间接识别和检测网络中的异常用户。在提取了用户图向量之后,具体对训练集和测试集、惩罚参数、核函数取不同值的情况进行了分析。通过对这些参数的调节,召回率、精确率和F1-Score均达到80%以上。实验数据表明,该方法能够有效检测企业网络中的异常用户。     

基于BP神经网络和Bagging算法的入侵检测

提出基于Bagging算法集成BP神经网络的入侵检测方法。采用BP神经网络为分类器,以用户的网络连接行为为特征进行检测,为进一步提高BP神经网络的分类性能,采用Bagging算法对BP神经网络分类器进行加权投票。实验表明,提出的方法具有良好的检测性能。     

自顶向下导引式特征融合的物体轮廓检测网络

针对现有方法所得物体轮廓位置欠准确、线条粗、乱等问题,提出自顶向下导引式逐层融合的物体轮廓检测网络.首先采用常用卷积神经网络作为主干网络提取不同尺度特征;鉴于低层特征中边缘位置准确但包含较多非轮廓噪声,而高层特征更有助于区分轮廓和非轮廓,自顶向下逐渐融合相邻尺度特征,借助高层特征强化轮廓边缘并抑制非轮廓噪声;最后提出改进的2分类交叉熵损失函数,训练网络生成物体轮廓.在PyTorch环境下,用公开数据集SBD测试所提出网络.量化和可视化实验结果表明,相比现有方法,该网络所得物体轮廓位置更准确、线条更细、更干净.     

模式识别方法在入侵检测中的应用

将模式识别方法应用到入侵检测领域,用以区分正常和异常的用户或主机行为。采用KDD99作为实验数据集,通过计算信息增益,从原始数据中选取对分类结果影响较大的特征属性;再分别选取两种带监督的模式识别方法支持向量机(SVM)和多层神经网络(MNN)以及两种不带监督的聚类方法Single-Linkage和K-Means进行实验。实验结果表明,上述方法在入侵检测领域中具有很好的应用前景。     

基于神经网络的僵尸网络检测

目前主流的僵尸网络检测方法主要利用网络流量分析技术,这往往需要数据包的内部信息,或者依赖于外部系统提供的信息或僵尸主机的恶意行为,并且大多数方法不能自动存储僵尸网络的流量特征,不具有联想记忆功能.为此提出了一种基于BP神经网络的僵尸网络检测方法,通过大量的僵尸网络和正常流量样本训练BP神经网络分类器,使其学会辨认僵尸网络的流量,自动记忆僵尸流量特征,从而有效检测出被感染的主机.该神经网络分类器以主机对为分析对象,提取2个主机间通信的流量特征,将主机对的特征向量作为输入,有效地区分出正常主机和僵尸主机.实验表明,该方法的检测率达到99%,误报率在1%以下,具有良好的性能.     

使用GNN与RNN实现用户行为分析

随着国家高性能计算环境(CNGrid)各个节点产生日志数量不断增加,采用传统的人工方式进行用户行为分析已不能满足日常的分析需求。近年来,深度学习在入侵检测、图像识别、自然语言处理和恶意软件检测等与计算机科学相关的关键任务中取得了良好的效果。演示了如何将深度学习模型应用于用户行为分析。为此,在CNGrid中对用户行为进行分类,提取大量绑定到会话的用户操作序列,然后将这些序列放入抽象的深度学习模型中。提出了一种基于图神经网络(GNN)和循环神经网络(RNN)的深度学习模型来预测用户行为。图神经网络能够捕捉用户局部行为的隐藏状态,可以作为预处理步骤。循环神经网络能够捕捉时间序列的信息。因此,通过将GNN和RNN相结合的方式来构建该模型,以获得两者的优点。为了验证模型的有效性,在CNGrid的真实用户行为数据集上进行了实验,并在实验中与多种不同的其他方法进行对比。实验结果证明了这种新的深度学习模型的有效性。     

结合白名单过滤和神经网络的工业控制网络入侵检测方法

工控网络异常中存在部分已知通信异常行为和部分未知通信异常行为,白名单方法能够有效地检测规则库内的已知异常行为,但对未知通信异常行为检测率低。为了在充分挖掘有效信息的基础上提升检测率,提出一种结合白名单过滤和神经网络无监督学习算法的入侵检测方法AMPSO-BP,并应用在管理网络与工业网络服务器间的路由器上。首先,利用白名单技术一次过滤不符合白名单规则库的通信行为;其次,通过神经网络无监督离线方式样本训练学习的结果二次过滤白名单信任通信行为中的异常通信。利用神经网络提升在信息不完备情况下的检测率,且根据神经网络检测结果不断完善白名单规则库,提高跨网异常通信检测率;利用自适应变异粒子群优化（AMPSO）算法作为BP神经网络的训练函数,在粒子群优化（PSO）算法基础上加入了自适应变异过程,避免了训练过程中过早陷入局部最优解。实验利用两组数据集训练和测试,实验结果表明,AMPSO-BP与白名单结合的检测方法比PSO-BP与白名单结合检测方法的准确率更高。     

BP神经网络在入侵检测中的应用

针对传统入侵检测系统在误报率、漏报率上的缺陷,把神经网络应用于专业入侵检测系统中,利用神经网络的BP算法的学习能力和快速识别能力,实现了对用户行为的检测,最后给出了该算法的理论推导和算法的具体实现步骤。与传统的入侵检测算法相比,该方法的最小平均误差比传统算法的最小平均误差小,且学习速度快。实验结果也说明了该方法的快速性、有效性、稳定性。     

基于径向基函数的入侵检测系统

入侵检测系统是信息安全管理的重要组成部分,通过监测网络流量模式来检测入侵行为。本文将径向基函数神经网络引入入侵检测中,提出了一个新基于径向基函数的网络入侵检测系统（RBFIDS）。RBFIDS系统首先采集网络运行数据,然后采用K-均值聚类算法确定RBF神经网络的系统参数。采用KDD99数据集对RBFIDS系统进行性能测试,总的检测率达到98%,误报率为1.6%,表明RBFIDS有较高的检测率和低的误报率。     

基于多传递影响力的社交媒体谣言检测方法

社交媒体谣言检测是当前研究的热点问题,现有方法多数通过获取大量用户属性学习用户特征,但不适用于谣言的早期检测,忽略了用户之间的潜在关系对信息传播的影响。提出一种基于多传递影响力的谣言检测方法,根据源微博及其对应转发(评论)之间的关系构建文本信息传播图,并通过图卷积神经网络来捕获、学习文本信息的传播特征。利用文本信息和用户传播过程中的影响力,丰富可用于谣言检测早期的检测信息。将存在转发关系的用户构成用户影响力传播图,构建一种用户节点影响力学习方法,获取用户节点影响力,以增强用户特征信息。在此基础上,将文本特征与用户特征融合以进行谣言检测,从而提升检测效果。在3个真实社交媒体数据集上的实验结果表明,该方法在谣言自动检测以及早期检测的效果都有显著提升,与目前最好的基准方法相比,在微博、Twitter15、Twitter16数据集上的正确率分别提高了2.8%、6.9%和3.4%。     

基于神经网络集成的Windows病毒检测方法研究

该文针对Win32PE病毒种类多,破坏力强的特点,提出一种基于神经网络集成的病毒检测方法。神经网络集成采用负相关学习方法进行训练,采用n-gram特征字统计方法得到病毒特征字,计算特征字信息条件熵,来选择作为训练样本的特征字。实验结果表明,神经网络集成改善了传统的特征字比对法不能识别新的病毒,容易被病毒制造者克服的缺点,在保证对Win32PE病毒较高的检测率的同时保持了较低的误检率。     

用于网络入侵检测的多尺度卷积CNN模型

鉴于卷积神经网络在计算机视觉等诸多领域取得的巨大成就,提出一种将多尺度卷积神经网络应用到网络入侵检测领域的方法。该方法将IDS中的网络数据转化成卷积神经网络能够输入的数据,利用不同尺度卷积核对大量高维无标签原始数据进行不同层次特征提取,再采用BN方法优化网络结构学习率,从而获得原始数据的最优特征表示。实验采用 KDDcup99数据集进行实验测试,与经典的模型相比,结果表明MSCNN模型不仅收敛速度快,而且误检率平均降低4.02%,准确率平均提高4.38%。因此MSCNN方法是一种可行且高效的方法,为网络入侵检测系统领域提供一种全新的思路。     

Cyberattack Detection Framework Using Machine Learning and User Behavior Analytics

This paper proposes a novel framework to detect cyber-attacks using Machine Learning coupled with User Behavior Analytics. The framework models the user behavior as sequences of events representing the user activities at such a network. The represented sequences are then fitted into a recurrent neural network model to extract features that draw distinctive behavior for individual users. Thus, the model can recognize frequencies of regular behavior to profile the user manner in the network. The subsequent procedure is that the recurrent neural network would detect abnormal behavior by classifying unknown behavior to either regular or irregular behavior. The importance of the proposed framework is due to the increase of cyber-attacks especially when the attack is triggered from such sources inside the network. Typically detecting inside attacks are much more challenging in that the security protocols can barely recognize attacks from trustful resources at the network, including users. Therefore, the user behavior can be extracted and ultimately learned to recognize insightful patterns in which the regular patterns reflect a normal network workflow. In contrast, the irregular patterns can trigger an alert for a potential cyber-attack. The framework has been fully described where the evaluation metrics have also been introduced. The experimental results show that the approach performed better compared to other approaches and AUC 0.97 was achieved using RNN-LSTM 1. The paper has been concluded with providing the potential directions for future improvements.