一种基于机器学习的内部威胁检测算法

网络空间的用户行为是不可预测的,恶意的内部攻击是对企业和政府机构最具破坏性的威胁之一。随着信息技术的迅猛发展,内网安全威胁越来越成为组织面临的重要挑战。现有的大多数入侵检测算法基于静态检测技术,难以检测隐蔽性高的内部攻击手段,同时也不具备灵活性和适应性,无法检测到网络流数据中用户行为的变化,因此在使用该类算法进行内网威胁分析时会出现误报率高、检测率低等问题。本文研究了一种基于机器学习的内部威胁检测算法,它包括数据收集、数据预处理以及数据分析3部分。其中数据分析阶段使用了逻辑回归(LR)、随机森林(RF)以及人工神经网络(ANN)来训练实验数据。实验表明,该算法可以从正常的和恶意的内部威胁中,以高精度检测到恶意内部威胁攻击以及恶意人员。本文提出的基于机器学习的内部威胁检测算法,可以辅助安全分析师分析内部威胁,提高内部威胁分析效率和精度,降低内部威胁分析成本,保护用户的资产安全。

基于机器学习的零日攻击检测技术综述

在当今信息时代,网络攻击已经成为危害严重的全球性问题。零日(0-day)攻击,即利用未知漏洞进攻目标系统,是最具挑战性的攻击之一。传统的基于签名的检测算法在检测零日攻击方面效果甚微,因为零日攻击的签名通常是不可知的。基于机器学习的检测方法能够捕捉攻击的统计特征,因此有望能用于零日攻击检测。本文对基于机器学习的零日攻击检测算法进行了全面回顾,主要包括无监督机器学习算法、监督机器学习算法、混合学习算法以及迁移学习算法。通过评估各类基于机器学习的零日检测算法发现,机器学习技术在零日攻击检测领域具有重要的应用价值。基于机器学习的零日攻击检测算法及相关软件可以辅助安全分析师捕捉未知威胁,提高零日攻击的分析效率和精度,降低零日攻击威胁分析成本,保护机构及组织的资产安全。

规则引擎发展综述

复杂事件处理是一种基于动态环境中事件流的分析技术。复杂事件处理需要定义复杂的规则,并且随着业务的变化,规则也会频繁变化。为了应对规则的变化,衍生出了众多的规则引擎框架,使得规则的变化可以动态配置,无需修改软件系统就可以满足业务需求。文章详细介绍了规则引擎的发展,并结合主流的规则引擎产品,包括Drools、Esper、SEC、NodeBrain,分析各规则引擎的核心技术与特性,最后通过性能评估方案对上述规则引擎进行性能评估。复杂事件处理应用服务于网络安全、金融、风控等众多行业,开发复杂事件处理应用的挑战之一就是为业务系统选择正确的规则引擎框架。本文从技术框架、性能等方面对主流规则引擎进行对比分析,旨在帮助开发人员快速选择合适的规则引擎框架。

开源情报中心系统设计

随着信息技术和网络技术的快速发展,网络空间将成为人类依赖程度越来越高且不可或缺的信息空间。网络给人们生活带来便利的同时也充斥了大量的有害信息,所以需要强有力的措施和手段来保障互联网内容安全。文章设计开源情报中心系统,可搜集各类公开来源情报,并利用自然语言处理、文本挖掘、机器学习、深度学习、统计分析等技术手段,借助分布式存储和索引、分布式计算框架等大数据平台组件支撑,进行海量开源情报数据的加工处理、分析评估、智能研判和归纳整编。在基于虚拟化技术的私有云平台上,开源情报中心构建了一套面向未来、全网覆盖、高效灵敏的网络情报监视系统,可以面向赛博威胁防控、国家安全分析、网络舆论监控等领域,提供高价值的开源情报支撑。

基于深度学习的入侵检测综述

在过去的几年中,深度学习在众多领域都发挥着重要的作用。新的深度学习模型及算法不断出现。许多计算机和网络应用程序利用深度学习算法,提高了应用的性能以及效率。在本研究中,我们概述了深度学习方法,包括基于受限玻尔兹曼机、深度信念网络、递归神经网络等,以及与网络异常检测相关的机器学习技术。此外,文章调研了在网络入侵检测方向上,深度学习技术的最新工作。通过本地实验,文章证明了深度学习方法在网络流量分析方向上的可行性。

一种分布式恶意流量检测系统设计与实现

现代军事网络拓扑复杂,恶意流量告警数量呈爆炸性增长,一级分析师作为最直接的告警数据处理人员,完全淹没在告警数据的海洋中,很难发现真正有威胁的告警。本技术通过研究基于上下文的综合研判模型,利用大数据流处理技术,对海量告警流量数据进行时域、空域综合研判,关联和挖掘威胁时间,有效过滤无用告警数据,提升分析师的工作效率,为更快处理威胁事件提供技术支撑。

基于机器学习的恶意软件分析算法

随着网络的快速发展,大规模恶意软件的自动化攻击已经成为网络攻击的主要形式,并且随着代码混淆、变形和多态性等技术的增强,恶意软件的形态越来越复杂。在这种情况下,为保护IT基础设施的安全,亟需开发更高效、智能的恶意软件检测方法。文章研究了一种基于N元文法(N-gram)和机器学习的恶意软件检测方法,使用沙箱动态分析技术来提取恶意软件的关键危害指标,并用N-gram算法对危害指标建立特征集合,同时加入TF-IDF算法用于筛选出关键的N-gram特征。最后,使用各种有监督的机器学习分类模型,包括朴素贝叶斯、决策树、随机森林以及逻辑回归,来训练N-gram特征集合。训练得出的机器学习分类器,可辅助安全分析人员进行恶意软件的分析工作,提高恶意软件分析的效率,降低恶意软件分析的成本。

工业控制系统安全发展综述

工业控制系统(ICS)在当今各个行业中发挥着重要作用,它提供过程自动化、分布式控制和过程监视等服务。ICS设计隔离区域并通过专门的通信机制或协议连接到其他系统,使得用户以极大的灵活性和安全性来管理工业生产过程。随着业务发展需要,互联网技术和大数据分析集成到ICS以满足更多客户需求。许多ICS连接到企业网络中,该网络允许用户访问ICS产生的实时数据,但是关键基础设施的开放也暴露很多网络安全问题。文章首先对ICS常见的概念进行概述,介绍全球工控系统的安全现状,总结近年来系统发生的网络攻击、威胁和安全漏洞。然后对现有的安全解决方案进行研究,讨论如何保护工控系统。最后介绍国内工控系统安全状况和未来发展趋势。

基于OpenStack平台的网络拓扑虚拟静态路由自动配置技术研究

随着虚拟化技术的发展,云平台虚拟网络配置技术逐渐成为研究的热点。然而,当前研究主要集中在对路由的设计、均衡负载技术的研究,而对实际工程中网络拓扑的静态路由配置问题缺少较为详细的探讨。文章基于OpenStack环境和结构,由双层深度优先搜索出发,提出了一种启发式的静态路由配置算法,并在平台上进行了试验。结果表明,经过改进和优化,该静态路由配置算法在非成环拓扑下和复杂成环拓扑下都有良好的效果。最后文章针对当前算法的不足进行了分析并提出了相关的改进措施。

基于复合攻击的场景构建及预测方法综述

随着网络应用范围的扩大,网络攻击也从传统的单一攻击方法朝着复合攻击的方向发展。针对复合攻击的检测和预测研究随之展开,攻击场景建模在相关研究中起到重要作用。有效的场景构建有利于预测攻击者的攻击目的,提高下一步攻击预测的准确率,能够显著提高网络的安全性。文章详细梳理了几种常见复合攻击的场景构建以及检测和预测方法。