基于改进AE-CM模型的未知应用层协议识别

现有的未知协议识别方法存在提取的特征不够充分、聚类分配不准确等问题,影响了协议识别结果的准确性。AE-CM(deep autoencoder with embedding clustering module)解决了当前深度聚类模型异步优化的问题,提高了聚类分配的精度。该文提出的DAEC-NM协议识别模型以AE-CM为基础,通过加入高维卷积、时序卷积网络以及调整多层感知机结构的方法,改进了AE-CM的特征提取部分。为了更全面地获取协议信息,DAEC-NM通过邻居分支采集邻居样本,并分析邻居样本间的局部关联特征,从而增强原样本特征中重要特征对聚类分配的指导能力。最后,采用了注意力机制来分析特征的重要性,以此为聚类模块设置有效的初始权重,解决了聚类模块在模型更新过程中权重特征更新较慢的问题。实验结果表明,DAEC-NM能够有效提高未知协议识别的准确性。

Probabilistic Top-k Query:Model and Application on Web Traffic Analysis

Top-k ranking of websites according to traffic volume is important for Internet Service Providers(ISPs) to understand network status and optimize network resources. However, the ranking result always has a big deviation with actual rank for the existence of unknown web traffic, which cannot be identified accurately under current techniques. In this paper, we introduce a novel method to approximate the actual rank. This method associates unknown web traffic with websites according to statistical probabilities. Then, we construct a probabilistic top-k query model to rank websites. We conduct several experiments by using real HTTP traffic traces collected from a commercial ISP covering an entire city in northern China. Experimental results show that the proposed techniques can reduce the deviation existing between the ground truth and the ranking results vastly. In addition, we find that the websites providing video service have higher ratio of unknown IP as well as higher ratio of unknown traffic than the websites providing text web page service. Specifically, we find that the top-3 video websites have more than 90% of unknown web traffic. All these findings are helpful for ISPs understanding network status and deploying Content Distributed Network(CDN).

基于生成式零样本学习的未知恶意流量分类方法

未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.

基于改进TSVM的未知网络应用识别算法

针对训练集中出现未知网络应用样本的识别问题,提出一种基于改进的直推式支持向量机的未知网络应用识别算法,引入增类损失函数刻画在训练过程中新增的未知应用样本的损失代价,建立TSVM的优化问题并推导其求解过程,使得构造的分类模型能够实现对未知类别样本的识别。通过实际网络数据集进行仿真分析,结果表明所提出的算法在识别未知网络应用的可行性和有效性方面均有良好表现。

基于集成SVM和Bagging的未知恶意流量检测

未知恶意网络流量检测是异常检测领域亟待解决的核心问题之一.从高速网络数据流中获取的流量数据往往具有不平衡性和多变性.虽然在恶意网络流量异常检测特征处理和检测方法方面已存在诸多研究,但这些方法在同时解决数据不平衡性和多变性以及模型检测性能方面仍存在不足.因此,本文针对未知恶意网络流量检测目前存在的困难,提出了一种基于集成SVM和Bagging的未知恶意流量检测模型.首先,针对网络流量数据的不平衡性,提出一种基于Multi-SMOTE过采样的流量处理方法,以提高流量处理后的特征质量;第二,针对网络流量数据分布的多样性,提出一种基于半监督谱聚类的未知流量筛选方法,以实现从具有多样分布的混合流量中筛选出未知流量;最后,基于Bagging思想,训练了集成SVM未知恶意流量检测器.实验结果表明,本文所提出的基于集成SVM与Bagging的未知流量攻击类型检测模型在综合评价(F1分值)上优于目前同类未知恶意流量检测方法,同时在不同数据集上具有较好的泛化能力.

信号交叉口运行状况评价研究

基于信号交叉口的灰色系统特性,通过引入未确知模型,以排队长度、延误、负荷系数、受阻车辆率、效率系数作为评价指标,建立信号交叉口运行状况评价的新方法。最后以南京某信号交叉口作为实例进行分析,结果表明,未确知模型的信号交叉口评价方法效果显著,具有较强的实践性。

无名流浪人员交通事故赔偿的法理思考

无名流浪人员交通事故索赔案件不同的处理结果,已经引起了各方面的高度重视,应该从法理学的角度进行思考,以建立我国的公益诉讼制度,完善我国的救助管理制度,切实保护当事人的合法权益。

基于网络动态全流量分析的未知威胁发现

目前,全球网络安全已步入未知威胁时代,大型网络动态流量安全分析仪器是国家网络安全的基石,具有不可替代的重要性。如何快速分析、发现网络流量中对我国家安全有害的恶意网络行为,特别是未知攻击,是当下我国家网络安全亟待解决的重大战略需求。传统网络流量安全分析需要攻方武器完整的先验知识,然而对于未知威胁,防守方几乎不可能做到此事。于是,传统方法就此陷入一个难以逾越的技术瓶颈,需要另辟蹊径。本文通过内生安全理念,模拟免疫系统未知病毒识别机理,形成先验知识不完备条件下未知威胁的快速发现、快速追踪、以及快速表征等三大创新能力,藉此突破传统方法在未知威胁分析方面的技术瓶颈,分析具备未知威胁发现能力的网络动态流量安全分析平台的发展趋势,将从理论和实战两方面促进我国网络安全科技进步,意义重大而深远。

基于网络流量分析的未知恶意软件检测

为了有效检测移动端的未知恶意软件,提出一种基于机器学习算法,并结合提取的具有鲁棒性的网络流量统计特征,训练出具有未知移动恶意网络流量识别能力的检测模型;该模型主要包括Android恶意软件样本数据预处理、网络流量数据自动采集以及机器学习检测模型训练;通过对不同时间节点的零日恶意软件检测的实验,验证模型的有效性。结果表明,所提出的方法对未知恶意样本的检测精度可以超过90%,并且F度量值为80%。

未知流量数据的智能特征提取与实时分类识别算法

网络协议和应用的不断变化、网络流量的高速增长,都对流量识别方法提出越来越高的要求。为适应复杂多变的网络环境,提出一种未知流量数据的智能特征提取与实时分类识别算法。该算法通过构建深度学习卷积神经网络实现网络流量特征的自动学习,不仅能够实时识别已知流量,还能进一步对未知流量进行实时分类,并感知新出现的未知流量从而创建新的未知类。通过数据量和特征库的不断积累,达到扩充识别种类(包括已知和未知)、提高系统实时识别能力的目的。实验结果表明,该算法在已知流量和未知流量的实时分类识别上均具有较高的识别准确率。

面向未知协议的流量识别技术研究

随着互联网的迅猛发展以及大数据和人工智能时代的到来,互联网安全面临巨大挑战。网络协议在网络数据传输中扮演着至关重要的角色,越来越多的流量使用未知的网络协议,使得互联网流量监管和分析难度不断提升。因此,网络协议的识别与分析技术的研究越来越重要。文章总结了近几年在协议识别与分析方面的技术和方法,并展望了未来技术的研究方向。

基于攻击流量自生成的DNS隐蔽信道检测方法

高级持续性威胁(Advanced Persistent Threat,APT)是当前最为严重的网络安全威胁之一.DNS隐蔽信道(DNS Covert Channel,DCC)由于其泛在性、隐蔽性成为攻击者手中理想的秘密信息传输通道,受到诸多APT组织的青睐.人工智能赋能的DCC检测方法逐步流行,但APT攻击相关恶意样本获取难、活性低等原因造成训练数据不平衡问题明显,严重影响了模型的检测性能.同时,已有检测工作使用DCC工具流量及少数恶意样本来评估系统,测试集覆盖范围有限,无法对系统进行全面、有效的评估.针对上述问题,本文基于攻击战术、技术和程序(Tactics,Techniques,and Procedures,TTPs)设计DCC流量生成框架并生成完备度可控的、覆盖大样本空间的、大数据量的恶意流量数据集.基于本研究生成的数据集,训练可解释性较强的机器学习模型,提出基于攻击流量自生成的DCC检测系统——DCCHunter.本研究收集了8个DCC恶意软件流量样本,复现了已被APT组织恶意运用的3个DCC工具产生流量,基于上述真实恶意样本评估系统对其未知的、真实的DCC攻击的检测能力.结果发现,系统对DCC的召回率可达99.80%,对数以亿计流量的误报率为0.29%.

肇事者不明道路交通事故受害人之救济

对于肇事者无法查明的道路交通事故损害赔偿纠纷案件而言,司法实务界和理论界主要有"由可能的肇事车辆承担按份责任""由可能的肇事车辆承担连带责任""由可能的肇事车辆承担补偿责任"三种不同的观点。但这三种不同的观点都是值得商榷的。究其原因在于通过侵权法上的方式对肇事者不明之道路交通事故的受害人予以救济,课以可能的嫌疑车辆责任,将使得无辜的人担责,涉嫌对人们的行为自由造成过度的限制。对此,应通过社会保障的方式对受害人予以社会化救济,以弥补侵权责任法救济方式的不足。在肇事者无法查明时,对于"肇事者"应承担的责任部分,由国家和社会来分担损失,以实现损害救济与行为自由之间的妥当平衡。

网络全流量安全分析系统

现有的安全检测方法难以有效感知未知威胁,企业需要实时掌握网络流量情况和内容,基于网络全流量安全分析系统(TSA)在网络流量精准识别、网络全流量存储以及威胁感知等方面的创新性技术介绍,阐述网络全流量分析技术对于网络监测与未知威胁感知的重要价值。

基于置信度与级联结构的未知网络流量检测

为了提升开集流识别性能,本文在对已知类和新类的置信度分布分析基础上,提出一种基于置信度信息与级联结构的未知网络流量检测方法。该方法通过级联结构,先将具有高置信度的新类样本检测出来;利用最大置信度差对新类和已知类进行分类;利用最大置信度对已知类进行细分类。为了更好地检测高置信度新类,还设计了从未标记数据筛选伪负样本的算法。实验表明,与现有代表性方法相比,本文方法的已知类F1提高约13%,新类F1提高约3%,总体准确率提高约5%,训练和分类耗时也明显少于现有方法。

机动车交通事故加害人不明不宜适用共同危险行为规则--兼论机动车交通事故责任不适用高空抛物责任规则

共同危险行为规则的适用,须严格按照"数人共同实施具有危险性的同种行为、其中一人或者数人的行为造成了损害后果、不能确定具体的侵权人"三个构成要件来认定。在机动车交通事故中,数人难以共同实施危及他人人身、财产安全的同种行为,一车或者数车造成损害时,基本上不存在不能确定具体侵权人的情形,故机动车交通事故加害人不明,不宜适用共同危险行为规则承担连带责任。高空抛物责任是公平分担损失规则的运用是基于法律的特殊规定,机动车交通事故不具有类推适用其规则的正当性基础。机动车交通事故加害人不明,由道路交通事故社会救助基金先行垫付伤亡费等,确定具体侵权人后,道路交通事故社会救助基金管理机构有追偿权,被侵权人有损害赔偿请求权。