基于改进混合采样和XGBoost算法的信用卡欺诈检测方法

随着金融机构信用卡业务的快速发展,信用卡欺诈行为成为金融机构面临的严峻问题。针对金融机构信用卡数据分布不均衡问题,本文采用过采样、降采样、SMOTE+ENN、SMOTE+Tomeklin、改进的SMOTE+Tomeklin和改进的SMOTE+ENN混合采样这6种不同采样方法对不平衡数据进行平衡处理,然后将平衡数据集输入到多种分类算法模型中进行实验比对,最后提出一种基于改进的SMOTE+ENN混合采样和XGBoost算法的信用卡欺诈行为检测模型。通过5种评价指标验证该检测方法不仅提高了信用卡欺诈行为不平衡数据的区分度,同时提高了信用卡欺诈行为检测的准确性和可行性。     

基于朴素贝叶斯理论的内部威胁检测方法

相比信息系统外部威胁攻击,信息系统内部威胁攻击更具隐蔽性,更难被发现并进行阻断。本文介绍内部威胁的概念及内部威胁常见的3个特征。针对用户命令操作行为具有普遍规律性,利用公开的安全数据集S-M数据集,提出一种基于朴素贝叶斯理论的内部威胁检测方法。该方法能够将混入用户中带有攻击操作行为命令的内部威胁检测出来,大大提高了内部威胁检测正确率,降低了误报率,使机器学习思想在内部威胁检测领域得到了广泛的应用。      

内部威胁云模型感知算法

利用系统访问控制关系,定义了主体、客体两个偏序结构和二者间的映射关系,建立了分层映射内部威胁模型;利用此模型定义了表征系统内部威胁状态的内部威胁云模型,并设计了基于云模型的感知算法,实现了对系统内部威胁的评测感知.基于云模型的内部威胁感知算法,利用云模型从多角度将系统的定性、定量内部威胁特征融合分析、决策,克服了原有方法不能同时定量定性分析内部威胁的缺陷,提高了感知的准确性和客观性.实验结果表明,此算法能够实时、有效地感知系统的内部安全威胁.     

基于N-Gram模型的蒙古语文本语种识别算法的研究

互联网上蒙古语文本正在不断地增加,如何让网络中的蒙古语内容为搜索引擎和舆情分析等应用提供服务引起了社会的高度关注。首先要解决如何采集网络中蒙古语文本数据,核心是准确识别网络中蒙古语文本的问题。该文提出了基于N-Gram模型的平均距离识别算法,建立了一个能够对目标语种识别的实验平台。实验结果表明,识别算法能够很好地从中文、英文、蒙古文以及混合语言文本中识别出蒙古语文本,准确率达到99.5%以上。     

基于隐马尔可夫模型的内部威胁检测方法

提出了一种基于隐马尔可夫模型的内部威胁检测方法.针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式.实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|λ)值太小而无法有效区分正常与异常的问题,检测性能更好.     

基于XGBoost算法的Webshell检测方法研究

为解决加密型Webshell与非加密型Webshell的代码特征不统一、难以提取的问题,提出一种基于XGBoost算法的Webshell检测方法。首先,对Webshell进行功能分析,发现绝大部分Webshell都具有代码执行、文件操作、数据库操作和压缩与混淆编码等特点,这些特征全面地描述了Webshell的行为。因此,对于非加密型的Webshell,将其主要特征划分为相关函数出现的次数。对于加密型的Webshell,根据代码的静态特性,将文件重合指数、信息熵、最长字符串长度、压缩比4个参数作为其特征。最后,将两种特征统一起来作为Webshell特征,改善了Webshell特征覆盖不全的问题。实验结果表明,所提方法能有效地对两种Webshell进行检测;与传统的单一类型Webshell检测方法相比,该方法提高了Webshell检测的效率与准确率。     

基于用户画像的自适应内部威胁检测模型

内部威胁领域中,员工是内部威胁事件发生的主要研究对象。针对内部威胁检测系统中员工行为数据利用不全及检测细粒度低的问题,提出将用户画像作为内部威胁检测的基础,实现了员工行为信息的全方位构建并提高了检测的细粒度。通过引入滑动窗口机制对每个员工的画像模型进行自适应偏移,使得内部威胁检测模型能够实时检测威胁员工。检测模型在CERT4.2数据集中进行验证,取得较好结果。     

基于角色异常行为挖掘的内部威胁检测方法

为检测信息系统中日益增加的内部威胁,针对审计日志中角色行为特征进行分析处理,提出一种基于角色异常行为挖掘的内部威胁检测方法。根据序列模式挖掘原理挖掘角色正常行为,使用KMP算法进行模式匹配,判断角色当前行为是否存在异常。实验数据表明,该方法可有效实现对角色正常行为的挖掘和对角色异常行为的检测,减少模式挖掘时间,在异常行为检测精确度上有所提高。     

基于LSTM-Attention的内部威胁检测模型

信息被内部人员非法泄露、复制、篡改,会给政府、企业造成巨大的经济损失。为了防止信息被内部人员非法窃取,文章提出一种基于LSTM-Attention的内部威胁检测模型ITDBLA。首先,提取用户的行为序列、用户行为特征、角色行为特征和心理数据描述用户的日常活动;其次,使用长短期记忆网络和注意力机制学习用户的行为模式,并计算真实行为与预测行为之间的偏差;最后,使用多层感知机根据该偏差进行综合决策,从而识别异常行为。在CERT内部威胁数据集上进行实验,实验结果表明,ITDBLA模型的AUC分数达0.964,具有较强的学习用户活动模式和检测异常行为的能力。     

基于N-Gram和TFIDF的SQL注入检测方法

随着信息技术的不断发展,各种SQL注入攻击工具层出不穷,攻击类型多变万化,SQL注入问题一直是网络安全的主要问题.因此,针对SQL注入攻击提出一种基于N-Gram和TFIDF(term frequency inverse document frequency)的入侵检测方法.其核心思想是:首先在预处理阶段使用N-Gra...     

基于N-Gram的Deep Web接口属性抽取

Deep Web中,查询接口属性的抽取是Deep Web数据集成中必不可少的一个环节。本文通过将接口属性中文文本翻译成为汉语拼音和英文,利用N-Gram方法完成中文查询接口中属性的抽取。经过多个领域的查询接口的实验,证明该方法能有效地抽取出查询接口的属性。     

内部威胁检测研究

近年来,以系统破坏、信息窃取以及电子欺诈为主的内部攻击因为隐蔽性强、破坏性大的特点对个人与企业,甚至国家安全造成了严重威胁。因此十分有必要关注内部威胁已有的研究成果与发展趋势。本文分析了内部威胁的特征,提出基于信任理论的形式化定义。同时将当前内部威胁研究热点归结为内部威胁模型研究、主观要素研究、客观要素研究及其它研究四个领域,分别介绍各个领域的研究状况,并对每个领域的研究进展进行归纳和分析。通过分析内部威胁已有案例以及当前研究进展,针对现有研究不足提出新型内部威胁检测系统,并展望未来的关键技术。     

基于XGBoost和社区发现的主机攻击行为检测

在大规模网络环境下,主机面临的安全威胁也愈发多样.随着基于机器学习检测恶意文件的技术快速崛起,极大的提升了对恶意软件的检测能力,也迫使对手改变了攻击策略.其中"Living off the land"策略通过调用操作系统工具或者执行任务的自动化管理程序来实现恶意行为.威胁检测可以从父子进程的上下文中发现可疑行为,将父子进程链及其派生的相关事件看作无向图,应用监督学习XGBoost算法进行权重分配,生成无向加权图.最后使用社区发现算法从图中识别出更大的攻击序列,在MIRTE ATT&CK仿真攻击数据集上进行验证.     

信息系统内部威胁检测技术研究

针对企业信息系统中日益严重的内部威胁行为,特别是冒名登录、越权操作等行为,基于用户行为分析的技术,采用主客体混合的分层安全模型,建立了一种新的信息系统内部威胁检测框架.通过比较用户异常行为及主客体权限发现恶意内部威胁行为.应用正则表达式与混合加密算法保证检测准确性和日志安全性.从身份认证、访问控制、操作审计和行为阈值技术四个方面进行安全检测,对关键技术给出了详细介绍.实验证明该检测框架防止了内部人员破坏数据并提供响应和干预能力,提高了信息系统安全性.最后,展望了内部威胁检测技术发展趋势.     

内部威胁发现检测方法研究综述

组织内部网络不仅面临着外部攻击者的威胁,同时也面临以破坏组织网络结构、内部信息资料窃取以及各种诈骗手段为主的内部威胁。内部威胁因为其多元化、伪装性强等特点,对组织机构内部造成了严重影响,因此对于内部威胁发现检测方法的研究变得非常有必要。本文首先对内部威胁进行了描述,重点针对内部威胁发现检测方法的现实意义进行了论述。同时将现有的内部威胁发现检测方法分为3类：基于异常行为的检测方法、基于审计日志异常的检测方法和其他检测方法,分别介绍了现有3类方法的研究现状,并对它们的研究进展进行了总结、归纳和分析。最后对内部威胁发现检测方法的未来研究方向进行了展望。     

基于N-Gram的计算机病毒特征码自动提取的改进方法

随着计算机技术的发展和普及,计算机病毒带来的危害日趋严重。传统N-Gram算法难以提取不同长度的特征,导致有效特征缺失,并产生庞大的特征集合,造成空间的浪费。针对这些问题,提出一种改进的基于N-Gram的特征码自动提取方法。该方法在原有N-Gram 特征提取算法的基础上引入变长N-Gram特征,提取不同长度的有效特征,生成不定长病毒特征码。综合考虑特征频率的相关性,利用特征浓度对N-Gram特征进行有向筛选,生成数据字典,节省存储空间。实验结果表明,与单纯使用定长N-Gram的算法相比,该方法能有效降低特征码自动提取的误报率。     

基于Agent的内部威胁实时检测框架

针对企业信息系统中的内部威胁行为,特别是内部用户的资源滥用行为,提出了一种基于Agent的实时检测框架,通过比较用户身份权限和异常操作行为发现恶意内部威胁行为.该框架有数据采集模块、检测模块、审计模块和响应模块构成.从身份认证、访问控制、操作审计和漏洞检测四个方面对检测系统进行功能说明,并就关键技术给出了详细介绍.应用实例证明该检测框架实现了用户实名登录、行为检测与事后审计,从根本上防止了恶意内部人员获取非法数据并提供响应和干预能力,提高了信息系统的安全性.最后,总结了内部威胁检测技术发展趋势.