基于深度学习的人脸呈现攻击检测方法研究进展

随着人脸识别技术广泛应用于公共安全、金融支付等领域,呈现攻击(Presentation Attacks,PAs)对人脸识别系统的安全性构成了威胁。呈现攻击检测技术(Presentation Attacks Detection,PAD)旨在判断输入人脸的真伪,对维护识别系统的安全性和鲁棒性具有重要的研究意义。由于大规模数据集的不断涌现,基于深度学习的呈现攻击检测方法逐渐成为该领域的主流。文章对近期基于深度学习的人脸呈现攻击检测方法进行了综述。首先,概述了呈现攻击检测的定义、实施方式和常见的攻击类型;其次,分别从单模态和多模态入手,对近五年来深度学习类方法的发展趋势、技术原理和优缺点进行详细分析和总结;然后,介绍了PAD研究中使用的典型数据集及其特点,并给出算法的评估标准、协议和性能结果;最后,总结了PAD研究中面临的主要问题并展望了未来的发展趋势。

SDN中DDoS攻击检测与混合防御技术

DDoS攻击是软件定义网络(SDN)安全领域的一大威胁,严重威胁网络控制器及交换机等设备的正常运行,因此提出一种SDN中DDoS攻击检测与混合防御技术。在DDoS攻击检测方面,利用卡方检验值对SDN中控制器收到的Packet_In数据流内数据帧数量进行统计分析,将高于数据流卡方阈值的数据流初步判断为可疑流;继续计算数据流与可疑流的相对Sibson距离,区分可疑流是DDoS攻击流还是正常突发流;最后通过计算数据流之间的Sibson距离,根据DDoS攻击流的特征,确定攻击流是否为DDoS攻击流。在DDoS攻击防御方面,采用共享流表空间支持和Packet_In报文过滤方法混合防御,被DDoS攻击的交换机流表空间过载,将过载流表引流到其他交换机,从而完成数据层的防御;溯源得到DDoS攻击MAC地址并进行Packet_In数据流过滤,完成控制层的防御。实验结果表明,所提方法可有效检测软件定义网络交换机和控制器内的DDoS攻击流,能够防御不同的DDoS攻击。

基于增量学习的车联网恶意位置攻击检测研究

近年来,车辆恶意位置攻击检测中主要使用深度学习技术.然而,深度学习模型训练耗时巨大、参数众多,基于深度学习的检测方法缺乏可扩展性,无法适应车联网不断产生新数据的需求.为了解决以上问题,创新地将增量学习算法引入车辆恶意位置攻击检测中,解决了上述问题.首先从采集到的车辆信息数据中提取关键特征;然后,构建恶意位置攻击检测系统,利用岭回归近似快速地计算出车联网恶意位置攻击检测模型;最后,通过增量学习算法对恶意位置攻击检测模型进行更新和优化,以适应车联网中新生成的数据.实验结果表明,相比SVM,KNN,ANN等方法具有更优秀的性能,能够快速且渐进地更新和优化旧模型,提高系统对恶意位置攻击行为的检测精度.

基于溯源图和注意力机制的APT攻击检测模型构建

针对现有攻击检测方法难以应对持续时间长、攻击手段复杂隐蔽的高级持续威胁的问题,构建了基于注意力机制和溯源图的APT攻击检测模型。首先,基于系统的审计日志构建能够描述系统行为的溯源图;其次,设计优化算法,确保在不牺牲关键语义的前提下缩减溯源图规模;再次,利用深度神经网络(DNN)将原始攻击序列转换为语义增强的特征向量序列;最后,设计并实现了APT攻击检测模型DAGCN,该模型将注意力机制应用于溯源图序列,利用该机制对输入序列的不同位置分配不同的权重并进行权值计算,能够提取较长时间内的持续攻击的序列特征信息,从而有效地识别恶意节点,还原攻击过程。该模型在识别精确率等多个指标上均优于现有模型,在公开的APT攻击数据集上的实验结果表明,该模型在APT攻击检测中的精确率达到93.18%,优于现有主流检测模型。

基于联邦增量学习的SDN环境下DDoS攻击检测模型

SDN是一种被广泛应用的网络范式.面对DDoS攻击等网络安全威胁,在SDN中集成高效的DDoS攻击检测方法尤为重要.由于SDN集中控制的特性,集中式DDoS攻击检测方法在SDN环境中存在较高的安全风险,使得SDN的控制平面安全性受到了巨大挑战.此外,SDN环境中流量数据不断增加,导致复杂流量特征的更复杂化、不同实体之间严重的Non-IID分布等问题.这些问题对现有的基于联邦学习的检测模型准确性与鲁棒性的进一步提高造成严重阻碍.针对上述问题,本文提出了一种基于联邦增量学习的SDN环境下DDoS攻击检测模型.首先,为解决集中式DDoS攻击检测的安全风险与数据增量带来的Non-IID分布问题,本文提出了一种基于联邦增量学习的加权聚合算法,使用动态调整聚合权重的方式个性化适应不同子数据集增量情况,提高增量聚合效率.其次,针对SDN环境中复杂的流量特征,本文设计了一种基于LSTM的DDoS攻击检测方法,通过统计SDN环境中流量数据的时序特征,提取并学习数据的时序关特征的相关性,实现对流量特征数据的实时检测.最后,本文结合SDN集中管控特点,实现了SDN环境下的DDoS实时防御决策,根据DDoS攻击检测结果与网络实体信息,实现流规则实时下发,达到有效阻断DDoS攻击流量、保护拓扑重要实体并维护拓扑流量稳定的效果.本文将提出的模型在增量式DDoS攻击检测任务上与FedAvg、FA-FedAvg和FIL-IIoT三种方法进行性能对比实验.实验结果表明,本文提出方法相比于其他方法,在DDoS攻击检测准确率上提升5.06%~12.62%,F1-Score提升0.0565~0.1410.

跨站脚本攻击检测与防御技术综述

跨站脚本(cross site scripting,XSS)攻击是Web安全中最严重的风险之一。随着Web服务、API等Web技术的广泛使用,以及AJAX、CSS和HTML5等新编程风格的出现,XSS攻击的威胁变得更加严重,因此如何处理XSS攻击安全风险已成为Web安全研究的重要关注点。通过对近年来XSS攻击检测和防御技术的调研,根据XSS攻击是否具有隐蔽性,首次从非对抗和对抗两个角度综述了XSS攻击检测和防御的最新技术。首先,从非对抗攻击检测和对抗攻击检测两个方面探讨分析了基于机器学习从数据中学习攻击特征、预测攻击的方法,以及基于强化学习识别或生成对抗样本策略来优化检测模型的方法;其次,阐述了非对抗攻击防御基于规则过滤XSS攻击、基于移动目标防御(MTD)随机性降低攻击成功率和基于隔离沙箱防止XSS攻击传播的方法;最后,分别从样本特征、模型特点和CSP的局限性、上传功能的广泛性等方面提出了XSS攻击检测和防御未来需要考虑的问题并作出展望。

结合图卷积神经网络和集成方法的推荐系统恶意攻击检测

推荐系统已被广泛应用于电子商务、社交媒体、信息分享等大多数互联网平台中,有效解决了信息过载问题。然而,这些平台面向所有互联网用户开放,导致不法用户利用系统设计缺陷通过恶意干扰、蓄意攻击等行为非法操纵评分数据,进而影响推荐结果,严重危害推荐服务的安全性。现有的检测方法大多都是基于从评级数据中提取的人工构建特征进行的托攻击检测,难以适应更复杂的共同访问注入攻击,并且人工构建特征费时且区分能力不足,同时攻击行为规模远远小于正常行为,给传统检测方法带来了不平衡数据问题。因此,文中提出堆叠多层图卷积神经网络端到端学习用户和项目之间的多阶交互行为信息得到用户嵌入和项目嵌入,将其作为攻击检测特征,以卷积神经网络作为基分类器实现深度行为特征提取,结合集成方法检测攻击。在真实数据集上的实验结果表明,与流行的推荐系统恶意攻击检测方法相比,所提方法对共同访问注入攻击行为有较好的检测效果并在一定程度上克服了不平衡数据的难题。

基于CNN-BiLSTM的ICMPv6 DDoS攻击检测方法

针对ICMPv6网络中DDoS攻击检测问题,提出一种基于CNN-BiLSTM网络的检测算法。通过将带有注意力机制、DropConnect和Dropout混合使用加入到CNN-BiLSTM算法中,防止在训练过程中产生的过拟合问题,同时更准确地提取数据的特性数据。通过实验表明:提出的算法在多次实验中的检测准确率、误报率与漏报率平均值分别为92.84%、4.49%和10.54%,检测算法泛化性较强,性能由于其他算法,能够有效处理ICMPv6 DDoS攻击检测问题。

基于组合加权k近邻分类的无线传感网络节点复制攻击检测方法

无线传感网络节点体积小,隐蔽性强,节点复制攻击检测的难度较大,为此提出一种基于组合加权k近邻分类的无线传感网络节点复制攻击检测方法。通过信标节点的空间位置数据与相距跳数得出各节点之间的相似程度,结合高斯径向基核函数求解未知节点的横轴、纵轴的空间坐标,确定各网络节点的空间位置;根据网络节点的属性特征与投票机制建立节点复制攻击模型,凭借组合加权k近邻分类法划分节点类型,并将结果传送至簇头节点,由簇头节点做出最后的仲裁,识别出节点复制攻击行为。仿真结果表明,所提方法的节点复制攻击检测率最大值为99.5%,最小值为97.9%,对节点复制攻击检测的耗时为5.41 s,通信开销数据包数量最大值为209个,最小值为81个。

基于梯度回溯的联邦学习搭便车攻击检测

随着车联网的发展,快速增长的智能汽车产生了海量的用户数据.这些海量的数据对训练智能化的车联网应用模型有极高的价值.传统的智能模型训练需要在云端集中式地收集原始数据,这将消耗大量通信资源并存在隐私泄露和监管限制等问题.联邦学习提供了一种模型传输代替数据传输的分布式训练范式用于解决此类问题.然而,在实际的联邦学习系统中,存在恶意用户通过伪造本地模型骗取服务器奖励的情况,即搭便车攻击.搭便车攻击严重破坏了联邦学习的公平性,影响联邦学习的训练效果.目前的研究假设搭便车攻击行为只存在于少量的理性用户中.然而,当存在多个恶意搭便车攻击者时,当前的研究无法有效地检测和防御这些攻击者.为此,提出了一种基于梯度回溯的搭便车攻击检测算法.该算法在正常的联邦学习中随机引入测试轮,通过对比单个用户在测试轮和基准轮模型梯度的相似度,解决了多个恶意搭便车用户场景中防御失效的问题.在MNIST和CIFAR-10数据集上的实验结果表明,提出的算法在多种搭便车攻击情境下都能实现出色的检测性能.

改进复合免疫算法的大规模网络入侵攻击检测

为提高入侵攻击检测效果以应对多种网络攻击,提出一种改进复合免疫算法的大规模网络入侵攻击检测方法。通过对自我和非我的区分匹配,描述网络入侵攻击检测问题,凭借模糊算法规则明确免疫机制界限。将遗传算法带入否定选择法中,令任意染色体可描述为模糊规则中的部分限定,设定惩罚系数限制规则覆盖正常样本的概率,令检测器选择过程简单化。选用二进制编码和汉明距离计算抗体与抗原间亲和度,得出二者在大规模网络内的浓度,最后基于检测器数据集与网络数据对比,若匹配则存在入侵攻击,根据对比结果记录抗体并报警。实验结果表明,所提方法能够提高检测精度和效率,具有极佳的适用性和应用价值。

基于波动因子调节的智慧校园网络虫洞攻击检测

当前对于智慧校园网络虫洞攻击检测多采用关联知识图谱算法,缺少对攻击有效期波动因子的调节,导致虫洞攻击检测率较低,检测效果不佳.为此,在云计算环境下提出基于波动因子调节的智慧校园网络虫洞攻击检测方法.通过分析网络虫洞攻击原理与类型,构建虫洞攻击模型,并对网络可疑链路进行识别,引入状态函数对攻击有效期的波动因子进行调节,由此建立虫洞攻击验证机制,基于此,结合云计算环境提取虫洞攻击事件的特征属性,并构造虫洞攻击衡量的标准表达式,进而实现网络虫洞攻击识别.实例应用结果显示,所提方法能够有效检测出网络虫洞攻击,检测率较高,检测效果更佳.

基于模糊逻辑的物联网流量攻击检测技术综述

物联网越来越多地出现在日常活动中,将我们周围多样化的物理设备连接到互联网,奠定了智慧城市、电子健康、精准农业等应用的基础。随着物联网应用的迅速普及,针对这类设备和服务的网络攻击数量也有所增加,且这些攻击具有不精确性和不确定性,使得对其进行正确检测和识别更加困难。为了应对上述挑战,学者们引入了基于模糊逻辑的攻击检测框架,在各种操作步骤中结合不同的模糊技术,以便在数据不准确和不确定时更精确地检测网络攻击。文中首先对物联网的安全性进行了详细的探讨,如其应对的安全挑战、所需的安全要求、面临的攻击类型等;其次对入侵检测系统(Intrusion Detection Systems,IDS)进行了描述,进而简述了物联网中IDS的基础框架;然后阐述了模糊逻辑的技术原理,分析了将其应用在流量攻击检测中的合理性;接着比较了各种基于不同技术的流量攻击检测方案,以说明它们在该领域的性能和重要性;最后总结了本文的主要工作,指出了未来的研究方向,为该领域的研究者提供了新的视角,以更好地应对不断升级的网络攻击。

基于频域解离特征的OCT指纹表征攻击检测

在自动指纹识别系统中,指纹防伪能力的发展至关重要.传统指纹一般由表面成像得到,而这种表面的纹理特征极容易被盗取.基于这种传统指纹的识别系统,检测指纹表征攻击的能力十分有限.因此,现有研究普遍针对具有防伪特征的指纹模态,如具有汗腺特征的高精度指纹和具有指静脉特征的指纹开发表征攻击检测算法.在本篇工作中,为了进一步提高指纹系统的表征攻击检测能力,我们提出一种基于光学相干断层扫描技术(Optical Coherence Tomography,OCT)的频域指纹表征攻击检测方法.与以往方法不同,我们首先利用卷积神经网络和残差结构设计了一个频域特征解离模型,通过该模型可以分别解离出时域中叠加在原始OCT指纹图像上的信息(如区分性特征、无效特征和冗余特征).然后,我们让它学习不同的频域编码,并结合OCT指纹在时域中的重构编码形成相应的潜层编码.利用潜层编码,我们设计了一种用于区分表征攻击指纹和真实指纹的预测模型,用于表征攻击检测.在目前常用的OCT指纹数据集上的实验结果表明,我们的方法可以通过在频域中分离出一些叠加在时域中的无用干扰信息,从而有效地消除干扰.在实例方面,该方法的最小误差(Err.)为0.67%,与已有的基于时域的最优方法相比,最小误差降低了3.03%,性能提高了81.89%.

基于轻量级卷积神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)可以攻击、侵入、破坏物联网设备。在COVID-19期间,将大量物联网终端设备用于疫情防控加速了信息交换频率,但过于简单的网络安全防御方式也让网络安全问题成为热议话题。深度学习(DL)已被广泛应用于网络安全领域,用于检测和应对各类安全等级较低的网络环境。针对具备简单结构的智能终端,传统DL模型对计算和内存资源的需求较高,在应对大量流量攻击时,往往需要额外的运行成本。提出一种基于自注意力机制与轻量级卷积神经网络(Self-attention-LCNN)的模型,通过以流为单位,对特定时间段内的数据包提取特征,用于检测和预防复杂网络环境中针对智能终端的DDoS攻击。Self-attention-LCNN模型在CICDDos2019数据集上的准确率为99.21%,将模型部署在树莓派上得到的平均检测率为93%,说明Self-attention-LCNN模型在资源受限的智能终端攻击检测方面具有良好的识别效果。

基于联邦学习的无线通信网络DoS攻击检测方法

无线通信网络受到DoS攻击,会使得网络的负载增加,导致延迟增加。而在无线通信网络中,数据通常分散在多个节点上,这会造成数据泄露和被攻击。为此,提出一种基于联邦学习的无线通信网络DoS攻击检测方法。对初始无线通信网络数据进行预处理和归一化,并采用随机森林算法进行降维处理,去除冗余特征,获得最佳网络数据特征集。将特征集输入到以深度卷积神经网络为通用模型的联邦学习训练模型中,独立训练本地模型并进行模型修正,传输至中心服务器进行聚合,收敛后完成训练。利用训练得到的联邦学习模型检测无线通信网络DoS攻击速率,再与接收者接收的容量最大值进行比较,判断是否有DoS攻击。实验结果表明,所提方法在处理大量数据时具有较高的稳定性和可靠性,能够在短时间内准确地检测出DoS攻击。

基于向量自回归模型的电网虚假数据注入攻击检测

虚假数据注入攻击(false data injection attack,FDIA)是威胁电网运行安全的主要因素之一,其主要通过攻击电网中的一些通信环节,误导电力系统的状态估计结果,给电网安全运行带来巨大威胁。针对FDIA难以有效检测及电力系统状态估计中过程噪声与量测噪声两者协方差矩阵非正定问题,将向量自回归(vector auto regression,VAR)模型引入电力系统状态估计,提出一种基于VAR和加权最小二乘法(weighted least squares,WLS)的FDIA检测方法。首先,建立VAR状态估计模型,将量测噪声视为稳定量,只对过程噪声进行估计,解决两者协方差矩阵的非正定问题;其次,分别采用VAR与WLS对电力系统进行状态估计,采用一致性检验与量测量残差检验对2种方法的结果进行检测,以判定是否存在FDIA;最后,IEEE 14节点和IEEE 30节点仿真结果表明,本文所提检测方法能够成功检测到FDIA,且检测成功率较高,从而验证了该方法的可行性及有效性。

命名数据网络中基于重构完全随机森林的兴趣包泛洪攻击检测方法

Interest泛洪攻击被认为是命名数据网络面临的最大威胁之一.现有的IFA检测方法主要基于PIT过期率,Interest包满足率或Interest包的名称分布,目前所提出的方法容易受到流量波动问题的影响,不能迅速、准确地区分攻击与流量波动.针对这一问题提出了一种基于RecForest的IFA检测方法,该方法收集PIT内的Interest包信息进行重构,限制恶意Interest包的转发来缓解IFA的影响.仿真结果表明:该方法可以降低因流量波动引起的误判问题,并有效地检测IFA.

基于机器学习的网络攻击检测与防御方法研究

传统的网络攻击检测与防御方法存在求解精度低、收敛速度慢、易陷入局部最优解等问题。为提升网络安全技术水平、应对日益突出的非法网络数据攻击现象,文章将提出基于机器学习的网络攻击检测与防御方法,测试模型的性能,结果表明新方法的网络攻击检测与防御效果均显著优于传统方法,具有更好的安全防御效果。

NOMA场景下基于双阶段训练的导频污染攻击检测和去污方案

导频污染攻击是攻击者使用与合法用户一致的导频去破坏合法用户的导频训练过程,是物理层中一种主动窃听手段。针对于目前基于调整导频结构的导频污染攻击研究在实际场景中的应用效果较差以及信道去污缺乏对角度域重叠概率探究的问题,提出可用于非正交多址接入环境的基于双阶段训练的导频污染攻击检测算法和基于空间特征的信道去污方案:首先利用接收信号在不同训练阶段正交投影结果的概率密度分布得到攻击检测结果;再利用信道能量在基站天线数较大时只会集中在少数几个方向上,并且不同用户信道在角度域上不可能存在重叠的理论依据实现信道去污。仿真实验表明,相较于基于随机矩阵理论的检测算法[10]和最小描述长度检测算法[11],提出的导频污染攻击检测方法在不同信噪比和导频长度下检测能力都得到显著改善;相较于基于特征值分解的盲信道估计算法[21]和线性最小均方误差信道估计算法[29],提出的信道去污方法在不同信噪比下去污性能上也得到了显著提升。