隐马尔可夫模型在P2P僵尸网络检测中的应用

针对P2P僵尸网络的特点,将隐马尔可夫模型应用于P2P僵尸网络检测技术中.首先根据当前僵尸网络的发展状况及存在的问题分析了P2P僵尸网络的生命周期和行为特征;然后对僵尸主机的状态划分采用隐马尔可夫模型对P2P僵尸网络进行数学建模,并提出一种P2P僵尸网络的检测方法.通过实验,验证了检测方法的可靠性和合理性.     

基于终端通信特征的P2P僵尸主机检测

详细分析了P2P僵尸网络的生命周期以及网络特征,从P2P软件和P2P僵尸病毒的网络行为相异性出发,提取其特征向量,并结合三种著名的数据挖掘算法,提出一种基于终端网络行为特征的P2P僵尸主机检测模型——Bot_Founder,并论述了虚拟机环境搭建和实验结果分析.实验结果表明,该模型能高效准确地区分出正常的P2P进程与P2P僵尸进程,检测出处于潜伏阶段的僵尸主机,具有较低的漏判率.     

基于异常行为特征的僵尸网络检测方法研究

基于僵尸网络通信及网络流量的异常行为,可以有效检测出僵尸频道。介绍了通过对主机响应信息的异常分析,进而判断出当前IRC频道是否为一个僵尸频道的检测算法。由此引入了基于异常行为的僵尸频道检测模型,该模型分类提取IRC频道的主机响应信息,结合检测算法分析得出结论。实验结果验证了该模型的有效性。     

基于决策树的僵尸流量检测方法研究

僵尸网络目前是互联网面临的安全威胁之一,检测网络中潜在的僵尸网络流量对提高互联网安全性具有重要意义。论文重点研究了基于IRC协议的僵尸网络,以僵尸主机与聊天服务器之间的会话特征为基础,提出了一种基于决策树的僵尸网络流量检测方法。实验证明该方法是可行的。     

僵尸网络研究

僵尸网络是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击,僵尸网络对因特网安全已造成严重威胁。深入研究分析了僵尸网络的三种模型,并对僵尸网络的发现、追踪进行了探讨。     

一种基于流量分析的P2P僵尸网络检测模型

梳理了P2P流量识别与基于流量分析的P2P僵尸网络检测的若干方法,在深入分析其各自优点与局限性的基础上提出了一种复合检测系统模型CAID。CAID模型由捕获、分析、识别和检测四部分组成,该模型针对P2P僵尸网络,通过流量的获取、识别与分析构建了完整的检测预警机制,为后续处理打下了坚实基础。最后,对该模型进行了实验分析。     

P2P僵尸网络检测技术

僵尸网络是目前互联网安全最严重的威胁之一.与IRC僵尸网络比,基于P2P协议控制的僵尸网络具有更强的安全性、鲁棒性和隐蔽性.文章介绍了典型P2P僵尸网络的工作原理,对其对等点发现机制进行了分类,分析了每类机制的弱点,在此基础上给出了相应的僵尸网络检测方法.     

基于Command and Control通信信道流量属性聚类的僵尸网络检测方法

僵尸网络(Botnet)是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel, CC)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。该文提出一种与僵尸网络结构和CC协议无关,不需要分析数据包的特征负载的僵尸网络检测方法。该方法首先使用预过滤规则对捕获的流量进行过滤,去掉与僵尸网络无关的流量;其次对过滤后的流量属性进行统计;接着使用基于X-means聚类的两步聚类算法对CC信道的流量属性进行分析与聚类,从而达到对僵尸网络检测的目的。实验证明,该方法高效准确地把僵尸网络流量与其他正常网络流量区分,达到从实际网络中检测僵尸网络的要求,并且具有较低的误判率。     

一种p2p Botnet在线检测方法研究

文章详细分析了p2p僵尸网络的生命周期以及网络特征,利用改进的SPRINT决策树和相似度度量函数,提出了一种新的在线综合检测方法,并论述了虚拟机环境搭建、原型系统设计和实验结果分析.实验结果表明,检测方法是可行的,具有较高的效率和可靠性.     

基于僵尸网络流量特征的深度学习检测

僵尸网络作为一种新型攻击方式,如今已成为互联网安全领域面临的重大威胁。随着计算机网络的发展,僵尸网络逐渐从传统的基于IRC协议向基于HTTP协议转变。海量的HTTP数据流使得僵尸网络可以有效的隐藏自身,这给僵尸网络的检测和识别增加了难度。通过分析HTTP网络流量,获取僵尸网络流量特征,提出将深度学习应用于僵尸网络检测的方法。实验结果显示,该方法可以有效地、准确地从HTTP流量中检测僵尸网络。     

视频火灾识别方法研究综述

火灾发生时,其火焰和烟雾具有特有的静态和动态特征,在分析总结火灾图像特征的基础上,以火焰和烟雾特征为线索,介绍了火灾提取和识别的典型方法,侧重于分析各种特征在火灾识别中的应用及所采用的算法,最后对未来视频火灾识别方法的发展方向作了展望。     

A self‐learning stream classifier for flow‐based botnet detection

Botnets have been recently recognized as one of the most formidable threats on the Internet. Different approaches have been designed to detect these types of attacks. However, as botnets evolve their behavior to mislead the signature‐based detection systems, learning‐based methods may be deployed to provide a generalization capacity in identifying unknown botnets. Developing an adaptable botnet detection system, which incrementally evolves with the incoming flow stream, remains as a challenge. In this paper, a self‐learning botnet detection system is proposed, which uses an adaptable classification model. The system uses an ensemble classifier and, in order to enhance its generalization capacity, updates its model continuously on receiving new unlabeled traffic flows. The system is evaluated with a comprehensive data set, which contains a wide variety of botnets. The experiments demonstrate that the proposed system can successfully adapt in a dynamic environment where new botnet types are observed during the system operation. We also compare the system performance with other methods.     

基于深度学习的僵尸网络检测技术研究

入侵检测系统通过分析网络流量来学习正常和异常行为,并能够检测到未知的攻击。一个入侵检测系统的性能高度依赖于特征的设计,而针对不同入侵的特征设计则是一个很复杂的问题。因此,提出了一种基于深度学习检测僵尸网络的系统。该系统利用卷积神经网络(Convolutional Neural Network,CNN)和长短期记忆网络(Long Short-Term Memory,LSTM)分别学习网络流量的空间特征和时序特征,而特征学习的整个过程由深度神经网络自动完成,不依赖于人工设计特征。实验结果表明,该系统在僵尸网络检测方面具有良好的表现。     

Malicious PDF document detection based on mixed feature

Aiming at the problem of poor robustness and easy to evade detection in the detection of malicious PDF document,a malicious PDF document detection method based on mixed features was proposed.It adopted dynamic and static analysis technology to extract the regular information,structure information and API calling information from the document,and then a feature extraction method based on K-means clustering algorithm was designed to filter and select the key mixed features that characterize the document security.Ultimately,it improved the robustness of features.On this basis,it used random forest algorithm to construct classifier and perform experiment to discuss the detection performance of the scheme and its ability to resist mimicry attacks.     

雷达目标动静态RCS特性差异分析

工程上常用静态RCS数据作为建立起伏目标回波信号模型的样本,其准确性和合理性亟待验证。文中基于空气动力原理提出了一种动态RCS特性的仿真方法,获取了F-117A型隐身攻击机侧站盘旋一周的动态数据。从统计特征参数、相关特性和起伏模型等方面对比了动静态RCS特性。着重分析了动静态RCS特性在起伏目标检测性能评估上的差异。结果表明静态RCS特性难以反映目标运动时真实的雷达特性,利用静态数据描述目标特性可能导致错误结论。      

一种基于深度学习的强对抗性Android恶意代码检测方法

针对现有Android恶意代码检测方法容易被绕过的问题,提出了一种强对抗性的Android恶意代码检测方法.首先设计实现了动静态分析相结合的移动应用行为分析方法,该方法能够破除多种反分析技术的干扰,稳定可靠地提取移动应用的权限信息、防护信息和行为信息.然后,从上述信息中提取出能够抵御模拟攻击的能力特征和行为特征,并利用一个基于长短时记忆网络（Long Short-Term Memory,LSTM）的神经网络模型实现恶意代码检测.最后通过实验证明了本文所提出方法的可靠性和先进性.     

基于特征不变矩的签名鉴别方案

脱机手写签名鉴别的主要困难在于有效特征的提取,因此本文主要围绕提取能反映签名本质的特征进行了相关研究。在具体解决签名鉴别时,一方面要考虑签名的静态特征,另一方面寻找动态特征。重点研究了静态特征。提取静态特征时,利用伪Zernike矩的尺度及位移不变性,计算签名图像的0~10阶伪Zernike矩来组成特征向量。在此基础上,对基于上述两种不同特征的加权欧氏距离分类器进行性能比较,并找到了一个有效的数据融合方案。     

一种静态Android程序恶意性检测方法

分析Android恶意程序行为特征,研究基于静态行为特征的Android程序恶意性检测方法及其实现方案,根据程序的静态行为特征来判断程序是否具有恶意性。针对Kirin方案做了2个方面的改进,一方面增加了对API的检测,细化了检测粒度,另一方面量化了不同静态行为特征的恶意性指数,通过计算程序的恶意性指数来分析程序的安全等级。实验结果表明,该方法能够有效地检测Android程序的恶意性程度。     

BotCatcher:botnet detection system based on deep learning

Machine learning technology has wide application in botnet detection.However,with the changes of the forms and command and control mechanisms of botnets,selecting features manually becomes increasingly difficult.To solve this problem,a botnet detection system called BotCatcher based on deep learning was proposed.It automatically extracted features from time and space dimension,and established classifier through multiple neural network constructions.BotCatcher does not depend on any prior knowledge which about the protocol and the topology,and works without manually selecting features.The experimental results show that the proposed model has good performance in botnet detection and has ability to accurately identify botnet traffic .