基于多策略的CDN加速域名识别与分析研究

CDN加速机制可以提升网站访问速度,隐藏主服务器真实IP地址。针对CDN加速域名真实IP地址难以获取的问题,提出一种基于多策略的CDN加速域名识别与分析方法。通过多地ping指令查询、综合站点查询、DNS历史记录查询等多种策略,借助互联网公开平台查询源站点真实IP地址。对已停用的域名,通过子域名、兄弟域名历史记录查询,尝试获取源站点IP地址。提出的多策略CDN加速域名识别与分析方法均通过互联网公开平台完成查询。实际测试表明,该方法可较好地应用于CDN加速域名的识别与分析。

基于改进麻雀搜索算法优化SVM的恶意程序检测

在网络技术快速发展的同时,恶意程序也随之不断进化,其种类和数量不断增多,攻击目标和攻击领域越发广泛,成为当前互联网面临的主要安全威胁之一。犯罪分子利用恶意程序实施远程控制、窃取私密信息、攻击网络基础设施等犯罪行为,给网络安全带来了严峻挑战。本文基于Tent-Logistic混沌映射和线性微分递减策略改进麻雀搜索算法,提高算法的搜索速度和稳定性。再将改进麻雀搜索算法用于获取SVM最优参数c和g,建立TLCSSA-SVM恶意程序检测模型。最后采用CIC-InvesAndMal2019等数据集进行检测,实验结果表明与SSA、PSO相比,TLCSSA优化后SVM的恶意程序检测能力更强。

融合Emoji的微博情感识别模型

社交媒体中充斥着大量携带Emoji的评论,这些评论的情感倾向与传统文本存在差异,为公安舆情工作带来了一定的挑战。针对社交媒体中携带Emoji表情符号的评论,建立一种强化Emoji局部特征微博舆情情感识别模型。通过Mini RBT作为预训练模型处理文本信息,再通过Emoji2vec处理Emoji信息,将文本信息和表情信息向量化后进行拼接,使用注意力机制获取全局特征,使用改进的EITC强化获取Emoji局部特征,最后实现对短文本情感的识别。构建了一种结合局部特征与全局特征的融合Emoji的微博舆情情感识别模型,为携带Emoji的中文社交媒体情感分析提供新方法,对公安舆情情感识别工作提供帮助。

面向编辑过程还原的勒索病毒删除文档重组方法

勒索病毒会加密用户主机内全部办公文档,覆盖删除原始数据,在无解密秘钥情况下,很难还原文档内容.针对上述问题,提出一种基于编辑过程还原的勒索病毒删除文档重组方法,通过扫描磁盘空闲存储空间,根据ZIP标志位和修改时间字段识别全部办公文档编辑过程痕迹分片,再利用目录项特征值匹配方法识别、重组电子文档数据块,对分片边界位置识别错误数据块,利用CRC32校验技术探测正确的块分界位置,进而修正识别错误数据块.实验结果表明,在主机感染勒索病毒情况下,该方法可准确识别、恢复2007以上版本Office电子文档编辑痕迹数据分片,重组原始文档内容.

基于XGBoost和LightGBM双层模型的恶意软件检测方法

目前基于网络流量的恶意软件检测方法大多依靠专家经验获取特征,此过程耗时费力且提取的流量特征较少,同时,传统特征工程在特征维度较高时复杂度大大增加。针对上述问题,文章提出一种使用极限梯度提升树(XGBoost)和轻量级梯度提升机(LightGBM)双层模型的恶意软件检测方法。在获取目标软件网络流量并提取相关特征后,使用过滤法和互信息法进行特征处理,将数据集导入首层XGBoost模型进行训练;然后结合网格搜索的调参方式得到最优参数组合,获取每个样本在最佳XGBoost模型中各棵树的叶子节点位置,以此创造新特征集;再利用LightGBM模型对新数据集进行训练,从而得到最终检测模型。实验结果表明,与其他检测方法相比,文章方法在恶意软件检测的准确率和实时性方面有显著提高。

基于异常加密流量标注的Android恶意进程识别方法研究

现有Android恶意样本分析方法需要提前获得待检的样本程序,当待检对象是Android智能终端而非一个样本程序时,因无法确定智能终端内哪个进程为待检恶意进程,导致样本分析法无法有效应用。现有针对恶意加密流量的检测方法可以达到较高的识别精度,但无法确定恶意流量与Android终端内恶意进程的映射关系,即无法确定恶意加密流量是由哪个进程产生的,也就不能锁定恶意进程具体位置信息。针对上述问题,文章提出一种基于异常加密流量标注的Android恶意进程识别方法,通过监听待检Android终端产生的网络通信数据,提取TLS加密通信流DNS特征、TLS握手协商特征和流统计特征,采用基于随机森林算法的二元分类器,识别恶意加密通信流;再通过提取流五元组特征值,在恶意加密通信流与Android终端进程之间建立一一映射关系,确定终端内恶意进程的具体位置。实验结果表明,该方法对复杂网络环境下未知恶意加密流量的检测精确度为97.46%,可根据检测出的恶意加密数据流定位Android终端内的恶意进程。

基于融合CNN与LSTM的DGA恶意域名检测方法

目前,恶意域名生成算法被广泛应用于各类网络攻击中,针对恶意域名检测中存在的特征工程效率低、域名编码维度过高、部分域名信息特征丢失等问题,文章提出一种基于融合卷积神经网络和长短期记忆网络的恶意域名检测深度学习模型。模型采用词向量嵌入方式对域名字符进行编码,构建一个密集向量,利用单词之间的相关性来进行相应编码。该方法有效解决了独热编码带来的稀疏矩阵和维度灾难等问题,缩短了字符的编码时间、提高了编码效率。该模型不仅可以提取域名信息中局部特征,还能有效提取域名字符间上下文关联性特征。实验结果表明,与传统恶意域名检测模式相比,文章方法可以获得更好的分类效果和检测率。

网络安全态势感知中Trie树关键词高速匹配算法研究

海量数据中关键词高速检索对增强网络安全态势感知系统反应速度,提高系统整体效率和安全性具有重要意义。基于双数组Trie树的网络信息检索算法具有较高的查找效率,但其插入时间复杂度较高,同时叶子结点占用了大量存储空间。为此,文章提出一种基于叶子结点压缩存储的双数组Trie树构造方法,按层次遍历Trie树,将分枝结点存储在基本双数组中,对叶子结点进行压缩后以位图形式存储于压缩数组中。该方法在保留双数组Trie树查询性能的同时,一定程度上提高了插入效率,改善了存储空间利用效率。

基于专家混合与领域特征的网络谣言识别模型

网络谣言的广泛传播严重扰乱了网络空间秩序,如何提高谣言检测模型在多样化情境下的泛用性成为了学者们关注的热点问题。社交媒体平台发布的信息涵盖多个领域,但现有的网络谣言检测方法大多适用于单一领域或事件,泛用性不足,实用价值低。结合网络谣言的领域特征,提出基于专家混合和领域特征的谣言识别模型WMTC。首先,将Wo BERT和多尺度TextCNN结合对谣言内容进行特征提取;然后,按照网络谣言所属领域对提取的特征进行聚合;最终,得到的特征向量通过MLP分类器生成谣言检测标签。实验结果表明,该模型的检测效果优于现有的单领域、混合以及跨领域网络谣言检测模型。

基于XGBoost与Stacking融合模型的恶意程序多分类检测方法

当前在恶意程序多分类检测领域,传统静态和动态检测方法受反取证技术影响较大;在新型基于网络流量的检测方法中,由于各类恶意程序流量特征的相似性较大,使用人工提取的数据流特征和传统机器学习方法不能取得较高的准确率。针对上述问题,文章提出一种基于XGBoost与Stacking融合模型的恶意程序多分类检测方法。在获取目标恶意程序对外通信流量并自动提取初始网络特征后,对初始数据集进行预处理和多重特征选择,而后使用基于XGBoost的特征创造算法,在初始特征基础上自动化生成高级特征集,并结合Stacking集成算法实现多模型融合以提升恶意程序多分类检测的准确率。在此过程中,为减少寻找最优参数组合的时间,使用贝叶斯优化方法确定各个模型的最优参数组合,并采取多种正则化策略解决模型过拟合问题。实验结果表明,与其他传统方法相比,该检测方法在恶意程序多分类的准确率上有较大提升。

一种高维向量空间K近邻快速搜索方法

针对基于Ball-tree结构的KNN算法初始K个近邻点位置固定,导致剪枝半径过大,剪枝效果差,查询效率低的问题,本文提出一种基于“双树”结构的高维向量空间K近邻快速搜索方法.在训练阶段,将原始数据集按照8∶2比例划分为训练集和测试集,利用随机选择方法共生成10组训练和测试集合,通过统计分析,得到最优“双树”构造参数.利用最优参数从原始数据点集合中过滤出极少量数据点构成剪枝树,过滤剩余数据点构成被删树,剪枝树需要最大限度地保留原始数据点集合在高维空间的分布形态.在查询阶段,由于剪枝树内数据点个数很少,可以快速定位最近邻点,再利用这个近邻点作为被删树的初始近邻点,在被删树内搜索K近邻.实验结果表明,由于初始近邻点位置不再固定,而是位于待查点附近,有效缩小了剪枝半径,改善了剪枝效果,提升了K近邻查询效率.

基于EXT3文件系统的数据库文件恢复与检验软件的开发

文章介绍了一种通过日志恢复EXT3文件系统下被删除Oracle数据文件的方法,研究了通过数据页存储特征恢复与检验Oracle数据文件的方法,介绍了基于EXT3的Oralce数据文件恢复与检验软件的总体执行流程图。该软件可以根据日志文件中保存的地址指针定位被删除文件散布在硬盘分区中的具体数据,进而将它们恢复成一个完整的数据库文件,该软件还可以根据Oracle数据页的存储特征最大限度地提取分布在硬盘分区上的数据页碎片,将这些数据页组合成一个文件,再利用自行开发的检验软件从中检验出有效的数据记录。

NTFS系统下“小文件”取证软件的设计与实现

文章介绍了通过MFT文件记录恢复"小文件"的方法,介绍了"小文件"恢复需要解决的乱码问题和多次删除数据的恢复问题,介绍了"小文件"取证软件的总体执行流程图和测试情况。该软件可以自动扫描NTFS系统的$MFT元文件,从$MFT元文件中依次找出每个包含"小文件"数据的MFT记录,如果某个MFT记录包含可以恢复的数据,则将其恢复出来。

基于OSPF路由欺骗的“黑洞”攻击及防御措施研究

文章详细分析了"黑洞"攻击的基本原理,研究了基于"黑洞"攻击的网络监听方法,给出了中转数据报的详细结构,提出了防御黑洞攻击的两种策略,即采用复杂密码加MD5认证方式和尽量缩小OSPF协议的扩散区域,可以在一定程度上预防"黑洞"攻击。

基于改进哈里斯鹰算法同步优化特征选择的恶意软件检测方法

针对恶意软件检测领域存在特征选择与模型参数调优难度大的问题,文章提出一种基于改进哈里斯鹰(Improved Harris Hawks Optimization,IHHO)算法同步优化特征选择的恶意软件检测方法。首先,将自适应精英反向学习策略、正余弦位置更新方式、circle混沌能量因子以及随机维度量子旋转门变异策略引入HHO算法,增强其全局探索和局部开发能力,提升算法收敛精度和稳定性。然后,采用IHHO同步优化极端梯度提升树分类算法参数及特征选择,构建基于网络流量特征的恶意软件检测模型。最后,使用改进算法对CICInves And Mal2019数据集进行特征子集提取与模型参数寻优仿真实验。实验结果表明,IHHO算法能选取更高质量特征子集并提升恶意软件检测模型分类能力。

基于DGA的恶意程序域名生成算法破解

文章提出了一种基于网络数据包捕获分析的DGA算法破解方法,首先捕获僵尸程序发出的DNS域名解析请求报文,通过分析恶意域名的结构特征对DGA算法形成一个初步的认识,再利用静态分析工具在恶意程序中搜索顶级域名字符串,定位DGA核心算法汇编代码,之后将汇编程序转化为高级语言程序,运行程序、计算得到未来所有可用域名信息。经过测试,发现应用这种方法可以快速、准确定位"僵木蠕"恶意程序中的DGA核心代码,提高取证分析效率。

基于EXT4文件系统的数据恢复方法研究

研究EXT4文件系统中删除文件的恢复方法对计算机取证工作有重要意义。文章研究了在EXT4文件系统中通过日志中的备份信息进行数据恢复的方法。采用了实例式研究方法,分析了EXT4文件系统中extent树的构成,分析了文件被删除之后extent树的变化,研究了通过inode编号定位inode结点所在数据块的方法,研究了通过日志恢复被删除文件的方法。文章得出的结论是在日志文件和删除数据未被完全覆盖的情况下,可以通过日志有效恢复EXT4文件系统中被删除的文件。文章的研究成果可以应用在公安机关的电子数据鉴定工作中,也可用于公安院校的《电子物证检验》课程教学。

Oralce数据库系统文件恢复与检验软件的开发研究

侦查部门打击利用网络进行的诈骗犯罪需要有法可依,这是我们依法治国方略的应有之义。然而,利用网络进行诈骗犯罪是一个近年来随着网络发展才开始泛滥,并受到广泛关注的问题,因此惩治利用网络进行诈骗犯罪的相关法律法规还不够完备,情报信息应用还不够充分,相关网络诈骗防范机制还未建立,这些都直接影响着案件的侦破。因此,有必要借鉴国外经验,结合我国国情,完善利用网络进行诈骗犯罪的防控对策。

ARP欺骗的深入研究

本文阐述了普通ARP欺骗攻击的原理和防御方法,详细介绍了针对网关实施的"half arp spoof"攻击,阐述了这种攻击所能导致的危害。深入分析了基于"half arp spoof"攻击的"即时通信监听"和"DNS欺骗"。深入分析了中间人攻击是如何盗取网上银行账户信息的。

一种PNG图像受损区域自动修复方法

针对PNG图像局部电子数据受损,造成大面积解码错误,图像内容无法正常查看问题,本文提出一种PNG图像受损区域自动修复方法.首先,在受损PNG图像内通过Huffman编码特征识别符合严格匹配条件的图像数据块,再从严格匹配数据块出发,采用关联搜索方法识别其它图像数据块,利用数据块首尾相连的特征,确定每个图像碎片的起始和结束位置.然后,利用过滤类型为0或1的水平分割线将图像碎片分割为若干个显示区域,从下至上逐个修复每块图像区域,修复过程中通过计算像素点之间的加权空间欧氏距离来区分色彩差异性,采用滑动位图块判断图像修复是否成功.实验结果表明,应用本文提出方法可有效修复PNG图像受损区域.