基于生成对抗网络的僵尸网络检测

为了解决僵尸网络隐蔽性强、难以识别等问题,提高僵尸网络检测精度,提出了基于生成对抗网络的僵尸网络检测方法。首先,通过将僵尸网络流量中的数据包重组为流,分别提取时间维度的流量统计特征和空间维度的流量图像特征;然后,基于生成对抗网络的僵尸网络流量特征生成算法,在2个维度生产僵尸网络特征样本;最后,结合深度学习在僵尸网络检测场景下的应用,提出了基于DCGAN的僵尸网络检测模型和基于BiLSTM-GAN的僵尸网络检测模型。实验表明,所提模型提高了僵尸网络检测能力和泛化能力。

基于会话异构的结构化对等网络拓扑模型

针对分布式哈希表(DHT)拓扑模型在动态网络中性能下降的问题,提出了一种改善的会话异构拓扑(SHT)模型.SHT模型利用了对等网络节点存在的会话异构性,将动态节点聚簇在稳定节点,从而降低了网络动态节点对于DHT拓扑的强干扰性.仿真实验显示,SHT模型能有效减少对等网络系统的拓扑维护开销,提高系统稳定性和数据可用性.

基于隐马尔可夫模型的加密恶意流量检测

近年来,随着网络加密技术的普及,使用网络加密技术的恶意攻击事件也在逐年增长,依赖于数据包内容的传统检测方法如今已经无法有效地应对隐藏在加密流量中的恶意软件攻击.为了能够应对不同协议下的加密恶意流量检测,提出了基于ProfileHMM的加密恶意流量检测算法.该方法利用生物信息学上的基因序列比对分析,通过匹配关键基因子序列,实现识别加密攻击流量的能力.通过使用开源数据集在不同条件下进行实验,结果表明了算法的有效性.此外,设计了两种规避检测的方法,通过实验验证了算法具有较好的抗规避检测的能力.与已有研究相比,该工作具有应用场景广泛以及检测准确率较高的特点,为基于加密流量的恶意软件检测研究领域提供了一种较为有效的解决方案.

百度域名何以被挟持?(二)

DNS域名解析体系安全风险 在上期我们讨论了DNS域名解析体系存在各种安全风险。本期，我们将对安全风险状况做一定程度的评估，目的是了解当前各种安全风险的轻重缓急情况，为我们DNS安全风险的预防做好规划，明晰重点。

百度域名何以被劫持?(一)

百度域名劫持再次引起DNS安全领域的震动。近些年来DNS不断受到各种安全问题的困扰，并对网络安全造成了较大的实际危害。因此，是否能够对DNS潜在安全进行比较透彻的分析，从而深入了解已出现的及未来潜在安全风险成为人们关心的话题。本文从DNS域名解析体系的完整环节展开剖析，针对域名解析的5个危险区域及整体体系安全风险进行论述，下期将探讨DNS域名解析体系如何进行安全风险状况评估。

DNS的风险与应对

5·19事件使得人们重新对DNS服务器进行关注。从前国内的关注点总是集中于DNS根域名服务器，而忽视了更深层次的技术问题。事实上，DNS Server一直是互联网安全上较为脆弱的一环。DNS由于其包消息的特点，通常采用的是UDP包传送解析请求和应答，而UDP就安全性而言比TCP差了很多。此外，DNS体系是倒树型结构，因此，存在集中故障点问题。这些内在的设计问题，使得DNS容易受攻击。

基于DNS的隐蔽通道流量检测

为提出一种有效检测各类型DNS隐蔽通道的方法,研究了DNS隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。实验表明,决策树模型可检测训练中全部22种DNS隐蔽通道,并可识别未经训练的新型隐蔽通道。提出的检测方法在校园网流量实际部署中成功检出了多个DNS隧道的存在。

人工智能对抗攻击研究综述

随着人工智能的广泛应用,人工智能安全也开始引起人们的关注,其中人工智能对抗攻击已经成为人工智能安全研究热点.为此,介绍了对抗攻击的概念和产生对抗样本的原因,主要因为模型判断边界与真实系统边界的不一致导致对抗空间的存在;论述了几种经典生成对抗样本的方法,包括快速梯度和雅克比映射攻击,对抗攻击的主要思路是寻找模型梯度变化最快方向,按这个方向加入扰动从而导致模型误判;论述了检测对抗攻击的方法和对抗攻击的防御方法,并提出未来的一些研究方向.

基于SVM主动学习算法的网络钓鱼检测系统

针对钓鱼式网络攻击,从URL入手,对网址URL和Web页面内容综合特征进行识别、分类,实现网络钓鱼检测并保证检测的效率和精度。用支持向量机主动学习算法和适合小样本集的分类模型提高分类性能。实验结果证明,网络钓鱼检测系统能达到较高的检测精度。

对等网信息检索的研究现状与展望

随着对等网(P2P)研究的进一步深入以及P2P网络中Peer结点和共享文件的进一步增多,如何在非集中式的P2P网络中发现所需要的文件已经成为P2P从研究走向实用的关键所在。该文首先提出了P2P挖掘的概念,然后指出P2P信息检索作为P2P挖掘中的一部分,已经成为P2P研究的一个热点。接下来提出了P2P网络的路由、搜索、挖掘的框架模型,指明了该领域研究的框架。然后分层综述了P2P信息检索的进展状况,对各种检索方法做了深入分析。并指出了它们各自的优缺点和应用局限性,最后对今后的P2P信息检索领域的发展方向进行了展望。

Chord协议的最优路由表结构

给出了Chord协议路由的形式化描述,将路由过程抽象成一个整数由一个数列受限的线性表示问题.利用Chord的双向边寻求路由表结构的优化,分析并提出了Chord协议的最优路由表结构.给出了基于最优路由表结构的路由算法,证明了3倍数Chord在满环情况下为最优路由表结构.

校园网的DNS安全问题

DNS安全问题已引起了广泛的关注。为此，我们利用自行开发设计的DNS安全检测软件，对中国教育和科研计算机网的IP地址范围进行了DNS服务探测，并对响应DNS请求的主机进行服务器安全检测。下面，我们给出我们的部分检测结果以及被攻击利用的危险。

计算机病毒及其发展趋势

通过对计算机病毒的基本属性以及结构的介绍,提高网络用户对计算机病毒的理解。分析和总结计算机病毒的发展趋势,介绍计算机病毒所采用的隐藏、多形性、社会工程、动态更新、混合攻击、数据关联、新型媒介、速度为王、恶意攻击、跨越平台等十大技术及发展方向,为科研技术人员和反病毒厂商防治计算机病毒提供有价值的参考。

基于社区的对等网络信息检索

定义了反映用户偏好的用户模式树,根据用户模式树之间的近似性来判断用户模式之间的近似性,进而构造用户社区,并提出了基于社区的信息检索算法(CBSA算法).实验结果表明,该算法利用用户搜索的行为模式有效地减少了检索时的网络带宽消耗,缩短了检索的响应时间,提高了检索效果.

基于免疫机制的无线Mesh网络安全模型

借鉴免疫系统的思想,采用多Agent组合来模拟实现淋巴细胞的免疫功能,设计了一个适用于无线Mesh网络的安全防护模型,能够实现对整个网络的入侵检测和主动防护,同时还具有学习机制、分布式、自适应等特点.通过实例分析和仿真实验阐明了安全模型的有效性.

基于ResNet和BiLSTM的僵尸网络检测方法

随着人工智能的发展,深度学习算法在僵尸网络检测领域的应用越来越广泛,但现有的僵尸网络检测方法多是从单一维度特征进行检测,不具备良好的全面性和适用性。因此,提出了一种从空间和时间两个维度进行特征学习的检测模型,使用ResNet神经网络学习空间特征,使用BiLSTM神经网络学习时间特征,以提取更全面的僵尸网络流量特征。实验表明,该模型性能良好,能够对僵尸网络进行较为准确的识别,且具有一定的检测未知僵尸网络的能力。

NULL字符欺骗DNS监控系统的研究

DNS流量监测统计已广泛应用于互联网安全管理及研究。文章提出一种利用NULL字符欺骗DNS监控系统的方法,并实验验证了该方法利用的缺陷存在于Wireshark、Dnstop和Dsc流量分析软件,以及部分恶意代码沙盘分析系统及域名过滤设备中,并在隐藏恶意软件域名、DNS隐蔽通信流量中得到应用。

GSM-CDMA双模系统设计

目前的大多数的双模系统都是由两个CPU组成,为了保证整个系统的稳定性,那么两个CPU的通信就尤其重要。详细地讨论了一种GSM/CDMA的双模系统的交互和开关机流程的解决方案。这种方案能够使GSM和CDMA两个模块在稳定工作的前提下,实现稳定的通信和协同。

基于分布式哈希表对等网络的Web服务发现

采用基于分布式哈希表(Distributed Hash Table,DHT)的对等网络构建了一个用于Web服务发现的分布式注册中心PWSD(Peer-to-Peer Web Service Discovery).在PWSD中,服务信息完全以非集中式的方式进行管理.针对原始的DHT路由算法无法支持基于XML的Web服务发现过程,扩展了DHT路由算法(以Chord为例)以支持基于XPath的路由查询.实验结果表明,PWSD具有良好的可扩展性.

基于图像矢量的恶意代码分类模型

近年来,恶意软件呈爆发性增长,而主流的恶意代码分析大都依赖复杂的特征提取和融合技术。因此,研究了一种新颖的基于图像矢量的恶意代码分类模型,将恶意代码的汇编指令映射为图像矢量,实现恶意代码分类问题向图像分类问题的转化。同时,借鉴语句分类问题的思想,构建结构简单、理论可解释性强的深度学习网络。模型在微软BIG2015数据集上取得了97.87%的交叉验证准确率,虽略低于冠军模型的结果,但实现了显著的性能提升。