网络流量异常检测方法：SSAE-IWELM-AdaBoost

针对传统入侵检测方法在高维海量数据且类别分布不均衡的环境下检测性能较差的问题,提出一种流量异常检测方法SSAE-IWELM-AdaBoost,该方法基于堆叠稀疏自编码网络(stacked spare auto encoder,SSAE)并融合改进加权极限学习机(weighted extreme learning machine,WELM)。该方法首先使用堆叠稀疏自编码网络直接从原始流量数据中自动学习并提取特征,获取原始数据的低维抽象表示,然后以WELM作为集成算法(AdaBoost)的基础分类器,利用修改的训练样本权值分配规则和基分类器权值更新公式迭代训练基分类器,通过加权投票表决的方法得到最优强分类器完成网络攻击流量的识别。在UNSW-NB15数据集上进行仿真实验,实验结果表明,SSAE-IWELM-AdaBoost算法可以提高整体的检测精度以及小样本攻击的检测率,缩短分类器的训练时间,能较好地满足大规模网络环境下原始流量数据实时检测,对不均衡流量数据识别也具有较好的表现。     

基于RASP技术的Java Web框架漏洞通用检测与定位方案

针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)技术,在Web程序内部获取运行时信息并进行漏洞攻击行为检测和多层次的信息记录,提出了基于RASP技术的Java Web框架漏洞通用检测与定位方案。实验结果表明,该检测方案可检测出全部攻击测试样本,并可定位漏洞攻击细节在Web应用程序中的位置,定位准确率达88. 2%,且该方案性能消耗小。     

大数据环境下基于信息论的入侵检测数据归一化方法

在大数据时代,入侵检测作为网络安全的一种重要技术手段被广泛采用.网络入侵检测数据不同的特征属性具有不同的量纲和量纲单位,为了消除特征属性之间的量纲影响,一般在进行数据分析之前采用归一化处理.当前网络入侵检测数据的归一化处理大多只考虑特征属性取值本身的分布情况,没有客观地评估它对类别信息或其他特征属性的影响.针对这个问题,提出了一种基于信息论的网络入侵检测数据归一化方法.对连续特征属性,它以联合信息增益作为区间的分割评估方法,以区间的类别占比作为标准依据进行归一化处理;对离散特征属性,它根据类别条件熵的占比进行了归一化处理.利用NSL-KDD数据集仿真实验,结果表明,该方法不仅能够提高学习算法的收敛性,而且归一化的结果有助于提高分类模型的检测率和降低分类模型的误报率.     

SDN环境下的DDoS攻击检测方案

DDoS攻击(分布式拒绝服务攻击)对于软件定义网络的危害是致命的,如何快速准确地检测出DDoS攻击对于SDN安全至关重要。提出一种SDN(software-define networking)环境下基于广义信息熵和GA-RBFNN(genetic algorithm-radical basis function neural network)的DDoS攻击检测方法。利用熵检测流量,根据划分的阈值把检测结果分为正常,异常和攻击。对于异常的警告,控制器通过提取OpenFlow交换机的8元流量特征,利用GA-RBFNN来检测是否发生DDoS攻击。实验表明,与其他方法相比本方案提高了检测准确率,降低了控制器开销,有较好的综合检测能力。     

基于图正则化概念分解的网络入侵检测研究

作为一种有效的主动探测网络恶意攻击防护措施,入侵检测在变电站信息系统安全防护中得到了广泛的应用.但实际网络入侵数据类型的多样性、非负性和高维度性等特点使得现有方法存在检测率低、误报率高等不足.基于非负矩阵分解的方法在入侵检测上取得了较好的效果,却忽略了嵌入在数据局部的几何结构和标记信息.为此,本文提出一种基于图正则化约束的概念分解算法.通过将数据的几何结构和标记信息同时作为约束条件,建立了一种新的概念分解模型,并提出了迭代更新求解算法.通过在网络入侵数据集KDD99上的实验验证,其结果展示了所提算法的有效性和鲁棒性.     

开放式Web平台可信性:问题与对策

对近期出现的开放式Web平台共性特征进行了分析,提出了开放式Web平台由于其系统架构,在可用性、安全性及隐私性等方面存在的问题,并通过实验证明了上述问题的存在.对于增强此类系统可信性,本文认为应重视由RESTfulWebServices远程调用所带来的时间开销,在第三方服务器暂存请求副本并增加DDoS攻击检测功能;开放式Web平台应对其与第三方应用服务器之间的通信进行加密.提出了一种基于任意测试位置的第三方应用评测算法,该算法仅使用较少的测试数据.实验表明,该算法能有效检测存在安全性及隐私性漏洞的第三方应用.     

一种用于信息聚集的抽象Web挖掘模型

Web挖掘是指从Web数据资源中自动发现和提取信息,尽管标准的数据挖掘方法可能适用于Web挖掘,但对于大多数基于Web的信息处理过程有必要设计特定的算法.提出了一个用于提取隐藏在数据资源中的信息的抽象Web挖掘模型.     

移动端Web浏览器HTTP流量注入的监控与屏蔽

提出一种在服务器部署前端脚本程序的监控方案,对移动端HTTP流量注入行为进行监控.基于监控数据,对注入内容、注入主体进行分析.分析结果显示,超过4%的移动端Web客户端会话在传输过程中被篡改,这样的篡改包括注入普通广告、注入恶意广告、网络运营商增值服务、恶意代码、虚假访问代码、页面重定向等,注入主体和网络运营商、地域、网络环境有关.基于此,提出了4项针对这些注入的屏蔽方案,包括在服务器部署HTTPS、CSP、部署检测脚本与HTTPS以及在客户端部署访问限制程序等方案,并对这些方案进行测试.测试结果表明,在服务器部署CSP的方案成本低且准确率较高;针对高性能客户端,在客户端部署访问限制程序的方案能有效屏蔽流量注入.     

一种基于动态污点的内存越界访问检测框架

基于软件漏洞的APT(advanced persistent threat)攻击是目前互联网终端用户面临的最大安全威胁之一.传统的基于样本的检测方法往往滞后于攻击行动,无法在攻击发生时准确阻止攻击行为.针对悬浮指针(dangling pointer,DP)及索引溢出(index overflow,IOF)两类常见漏洞错误,通过分析漏洞的形成机理及防护条件下漏洞利用过程,提出一种针对上述两种错误的自动检测框架.该框架以二进制动态分析平台Pin为基础,使用动态插桩技术和污点技术,通过动态追踪指针的整个生命周期并对指针使用的合法性进行检查,从而准确检测出DP和IOF类型的漏洞攻击样本并提供详细的漏洞信息.     

一种新型的自适应入侵检测系统的研制

针对当前入侵监测系统存在的自适应能力较差、扩展性差的问题，基于面向混合类型数据的快速启发式聚类算法FHCAM和属性约束的模糊规则挖掘算法ACFMAR，提出了一种采用数据挖掘技术的自适应入侵检测系统DMAIDS．该系统通过划分聚类的方法划分出异常入侵记录；模糊关联规则的方法提取入侵模式．通过对1999年举行的数据挖掘大赛所使用的10%子集进行实验，结果表明该系统平均检测率和平均误检率比大赛获得冠军检测方法准确率提高了近2倍，检测率从数据子集1的65．25％自适应提高到数据子集9的85．7％能自适应的检测各种攻击，表明该系统具有很好的应用前景。     

信息熵在入侵检测中的应用

从信息论的角度,讨论信息熵在基于异常入侵检测中的理论指导意义,本理论可用于测量审计数据的内在规律性或执行恰当的数据变形,使其能适用于建立模型时的训练数据,实验结果证明基于本理论建立的最大熵模型的分类检测效果较好.     

钱塘江河口盐度的神经网络模拟

盐水入侵会对潮汐河口饮用水源地产生影响,河口盐度的合理预测对饮用水源地取水安全和水库泄水抑咸调度有重要意义.以上游流量和下游潮差为控制条件,建立模拟钱塘江河口盐度变化情况的神经网络模型.首先对输入数据作归一化处理,利用上半年观测数据对模型进行反复训练,进而后报下半年盐度.模型输出数据反归一化所得到的结果与实测盐度数据比较,两者较为一致.表明基于河口盐度与上游流量和下游潮差间映射关系所建立的神经网络模型可有效地模拟潮汐河口的盐度变化.利用神经网络方法模拟了上游流量变化条件下钱塘江河口某测站的氯化物浓度.结果显示,当利用上游水库泄水来抑制河口咸水入侵时,采用降序流量过程可更有效地减小盐水入侵对饮用水源地的影响.     

一种基于模型检查的入侵检测方法

在分析系统行为以及其动作序列的语义的基础上，利用时序逻辑公式描述攻击特征，提出了一种基于模型检查的入侵检测方法，该方法解决了检测中的重复验证等问题，通过增加推理链的长度约束，引入时序算子处理统计攻击，从而优化了入侵检测过程。     

面向服务的语义互操作能力研究

提出了一种面向服务的语义互操作能力度量的方法.该方法采用概念树对Web服务的输入、输出数据进行语义标注,明确该数据概念的外延.根据数据概念外延的关系,将面向服务的语义互操作分为完全语义互操作、部分语义互操作和无语义互操作三个层次,并提出了计算语义互操作能力的方法,将该方法运用于Web服务组合参数传递时的语义合法性的判断.最后,设计了面向服务的语义互操作能力评价系统实现框架.     

无人机网络入侵检测与信任体系研究综述

无人机应用场景广泛,然而无人机网络节点移动性强,通信链路不稳定,资源受限,易受网络攻击。常见的攻击有拒绝服务攻击、信息窃取、GPS(global positioning system)欺骗、传播虚假消息等,并且这些攻击在实际应用中会造成许多风险事件。基于上述攻击,本文回顾了近年来无人机网络安全防御方案,首先介绍了入侵检测防御技术,包括基于特征分析的入侵检测、基于数字签名的入侵检测、基于异常行为和行为准则的入侵检测;然后阐述了信任管理模型,包括基础信任模型、分角色和分层信任模型和其他信任模型;最后概述了基于人工智能技术和区块链技术的新型技术安全防御方案。结尾提出完善入侵检测方案与信任体系面临的挑战,为无人机网络安全研究提供参考。     

基于分布式数据挖掘技术的网络入侵检测系统的研究

简要分析了现有的网络入侵检测技术存在的一些问题．在此基础上，提出了一种基于分布式数据挖掘技术的网络入侵检测系统模型，讨论了模型中各个功能部件的结构和关键技术．采用多Agent技术设计了一个基于该模型的网络入侵检测原型系统．对实现不同功能的多类Agent进行了设计．论文还介绍了原型系统的实现技术．通过一个模拟分布式攻击仿真实验，检验了该模型的合理性和原型系统的性能．实验结果表明，该模型可在一定程度上提高入侵检测系统对分布式攻击的检测能力．     

语义网中基于OWL DL的本体模型研究

本文探讨了语义Web中本体Ontology模型的设计.通过研究RDF和RDFS,以及语义Web对信息语义的组织方式,阐述了基于OWL DL在语义Web中建立本体模型的方法.在此基础上,探讨了本体语义模型的结构并搭建了本体语义模型的框架.     

基于DBN与带注意力机制GRU的CAN总线入侵检测模型

为解决车联网中CAN(controller area network)总线易受攻击的问题,提出了一个混合攻击入侵检测模型DGAOIDS。该模型利用无监督的DBN(deep belief nets)学习正常CAN报文数据的基础特征,并利用一个带注意力机制的GRU(gate recurrent unit)网络学习其时序特征,用单分类支持向量机对其进行分类;引入一个对电子控制单元规则学习得到的过滤器,综合过滤器与前述模型的分类结果得出最终的检测结果。实验结果表明,对于不同攻击,基于规则的过滤器的假阳率均为0;DGAO-IDS模型不仅在公开数据集HCRL中的检测结果优于对比模型HyDL-IDS和MD-LSTM,而且该模型在混合攻击数据集MixAt中的精确度达到了91.05%,与HyDL-IDS模型和MD-LSTM模型相比分别高6.55%与7.93%。     

关联规则在网络异常检测中的应用

异常检测在网络安全中已成为一个重要的课题,异常检测是入侵检测(IDS)的一种,它对网络及用户正常行为的特征进行描述,并通过对正常网络行为的偏差的比较来实现入侵检测.关联规则是一种典型的数据挖掘方法,可以用来描述事物之间在特定条件下存在的某种强度的联系.通过对网络数据进行采集并利用关联规则数据挖掘的方法描述网络特性,建立了一个有效的网络异常检测系统模型,获得了较好的效果.