基于神经网络的僵尸网络检测

目前主流的僵尸网络检测方法主要利用网络流量分析技术,这往往需要数据包的内部信息,或者依赖于外部系统提供的信息或僵尸主机的恶意行为,并且大多数方法不能自动存储僵尸网络的流量特征,不具有联想记忆功能.为此提出了一种基于BP神经网络的僵尸网络检测方法,通过大量的僵尸网络和正常流量样本训练BP神经网络分类器,使其学会辨认僵尸网络的流量,自动记忆僵尸流量特征,从而有效检测出被感染的主机.该神经网络分类器以主机对为分析对象,提取2个主机间通信的流量特征,将主机对的特征向量作为输入,有效地区分出正常主机和僵尸主机.实验表明,该方法的检测率达到99%,误报率在1%以下,具有良好的性能.     

基于核聚类的无线传感器网络异常检测方案

针对无线传感器网络的自身特殊性和所面临的路由安全威胁,提出了一种基于核聚类的异常检测方案——KCAD,以检测路由攻击所导致的流量异常。该方案通过利用Mercer核,将输入空间的流量特征样本隐式地映射到高维特征空间,突出了不同样本间的特征差异,从而更好地完成聚类,提高了检测准确率,同时还针对流量特征样本做了时间维扩展,使之更能反映近期网络流量状况,减少了由于历史数据集影响所带来的误报。仿真实验结果表明,KCAD方案能够在较少的资源开销条件下,迅速、有效地检测出传感器网络中的攻击异常。     

基于排列熵与决策级多传感器数据融合的P2P僵尸网络检测方法

提出了一种基于排列熵和决策级多传感器数据融合的P2P僵尸网络检测算法。首先分别构建流量异常检测传感器和异常原因区分传感器:前者利用排列熵刻画网络流量的复杂度特征(该特征并不依赖于特定类型的P2P僵尸网络),通过利用Kalman滤波器检测该特征是否存在异常;后者利用TCP流量特征在一定程度上减弱P2P应用等网络应用程序对P2P僵尸网络检测的误差影响。最后利用D-S证据理论对上述传感器的检测结果进行决策级数据融合以获得最终的检测结果。实验表明,提出的方法可有效检测新型P2P僵尸网络。     

聚类差分图像核密度估计前景目标检测

针对非参数核密度估计学习阶段信息冗余与重复计算,估计阶段的估计错误噪声和计算量大的问题,提出了一种基于聚类分析的差分图像核密度估计前景目标检测算法.该方法在非参数核密度估计的学习阶段基于最大最小聚类原理从原采样全样本中提取那些具有较高频度和多样件的小样本来包含尽可能多的关键样本信息,在估计阶段采用基于自适应阈值的图像差分滤去非典型的运动像素,再利用高斯核密度估计进行运动像素分类.实验结果表明该方法限制了非典型运动像素估计错误产生的噪声,并减少了核密度估计计算量,提高了算法的实时性.     

基于集成学习的僵尸网络在线检测方法

僵尸网络已经成为网络基础设施面临的最严重的威胁之一,针对现有的僵尸网络研究工作所检测的僵尸网络生命周期的阶段较为单一的问题,提出基于集成学习的僵尸网络在线检测方法。首先,细粒度地标记僵尸网络多个阶段的流量,生成僵尸网络数据集;其次,结合多种特征选择算法生成包含23个特征的重要特征集和包含28个特征的次重要特征集,基于Stacking集成学习技术集成多种深度学习模型,并针对不同的初级分类器提供不同的输入特征集,得到僵尸网络在线检测模型;最后,将僵尸网络在线检测模型部署在网络入口处在线检测多种僵尸网络。实验表明,所提基于集成学习的僵尸网络在线检测方法能够有效地检测出多个阶段的僵尸网络流量,恶意流量检测率可达96.47％。     

一种物联网环境下的分布式异常流量检测方案

物联网终端设备数量的急剧增加带来了诸多安全隐患,如何高效地进行异常流量检测成为物联网安全研究中的一项重要任务。现有检测方法存在计算开销大的问题,且不能显式地捕捉流量数据中的关系和结构,难以应对新型网络攻击。考虑网络结构和节点设备之间的复杂通信模式,提出一种基于图神经网络的分布式异常流量检测方案。结合物联网环境对卷积神经网络进行改进,识别节点之间的复杂关系,同时在物联网设备、转发器和雾节点上设计并部署分布式检测单元,通过分布式检测架构实现本地化的异常流量检测,从而降低检测延迟和时间开销。在此基础上,引入注意力模块强化对关键特征的提取,增强模型的可解释性,进一步提高检测精度。在公开数据集CTU-13上的实验结果表明,该方案准确率和AUC值达到99.93%和0.99,只需9.26 s即可完成检测,且带宽消耗仅为845 kb/s。     

基于协议分析的IRC僵尸网络检测方法

IRC协议的利用使僵尸网络趋向智能化,给僵尸网络的检测带来很大难度。通过深入研究IRC僵尸网络运行机制和网络行为交互特征,提出了一种基于IRC协议分析的僵尸网络检测方法——BotDetector,采用流量预处理、IRC协议解析还原、控制命令的模式匹配等关键技术,BotDetector实现了高效、快速的IRC僵尸网络实时检测功能。实验结果表明,BotDetector对于IRC僵尸网络的检测行之有效。     

面向小目标图像的快速核密度估计图像阈值分割算法

针对当前小目标图像阈值分割研究工作面临的难题,提出了快速核密 度估计图像阈值分割新方法.首先给出了基于加权核密度估计器的概率计算模 型,通过引入二阶Renyi熵作为阈值选取准则,提出了基于核密度估计的图像阈 值分割算法 (Kernel density estimator based image thresholding algorithm, KDET), 然后通过引入快速压缩集密度估计 (Fast reduced set density estimator, FRSDE)技术,得到核密度估计的 稀疏权系数表示形式,提出快速核密度估计图像阈值分割算法fastKDET,并从 理论上对相关性质进行了深入探讨.实验表明,本文算法对小目标图像 阈值分割问题具有更广泛的适应性,并且对参数变化不敏感.     

基于SVM的Fast-flux僵尸网络检测技术研究

近些年出现的采用Fast-flux技术的僵尸网络,给网络安全带来了极大的威胁.因此,有效检测Fast-flux僵尸网络就成为网络安全研究者关注的热点问题.目前的检测方法都存在误报率较高的问题.针对这个不足,通过对Fast-flux僵尸网络数据进行分析,选取Fast-flux僵尸网络的六个典型特征,提出了基于SVM的Fast-flux僵尸网络的检测方法.实验表明,基于SVM的Fast-flux僵尸网络检测方法明显地降低误报率.     

基于MapReduce检测僵尸网络的贝叶斯算法的实现

利用贝叶斯算法检测僵尸网络具有较高的准确性,但僵尸网络具有流量大的特征,同时贝叶斯分类训练阶段需要对大量的网络数据集进行训练,用单一结点来检测僵尸网络将会遇到计算时间和计算资源瓶颈。为此设计了基于MapReduce检测僵尸网络的贝叶斯算法,把贝叶斯算法训练阶段的先验概率、条件概率和检测阶段的后验概率的计算并行化处理。通过大量运行在Hadoop平台上的实验表明,该方法提高了检测僵尸网络的效率。