恶意流量识别研究现状、热点及趋势——基于CiteSpace知识图谱的可视化分析

随着科技进步,互联网迅猛发展,网络在人类生活中扮演越来越重要的角色,网络空间中的安全问题随之凸显,恶意流量作为网络攻击常用手段,其准确识别是网络安全领域的重要研究方向之一。本文借助CiteSpace软件,对CNKI数据库以恶意流量识别为主题的177篇文献进行分析,绘制发文时间、发文作者、发文机构等知识图谱,研究恶意流量识别研究现状、热点及趋势,为网络流量识别研究和网络安全防护研究提供参考。

一种基于多模型融合的隐蔽隧道和加密恶意流量检测方法

高级持续威胁APT攻击为了躲避检测,攻击者往往采用加密恶意流量和隐蔽隧道等策略隐匿恶意行为,从而增加检测的难度。目前大多数检测DNS隐蔽隧道的方法基于统计、频率、数据包等特征,这种方法不能很好地进行实时检测,从而导致数据泄露,因此,需要根据单个DNS请求进行检测而不是对流量进行统计后再检测,才能够实现实时且可靠的检测,当系统判定单个DNS请求为隧道流量,便可做出响应,进而避免数据泄露。而现有的加密恶意检测方法存在无法完整提取流量特征信息、提取特征手段单一、特征利用少等问题。因此,文章提出了基于多模型融合的隐蔽隧道加密恶意流量检测方法。对于DNS隐蔽隧道,文章提出了MLP、1D-CNN、RNN模型融合的检测方法并根据提出的数学模型计算融合结果,该方法能够对隐蔽隧道实时监测,进一步提高检测的整体准确率。对于加密恶意流量,文章提出了1D-CNN、LSTM模型的并行融合的检测方法,并行融合模型能够更加全面地提取特征信息,反应流量数据的全貌,进而提高模型的检测精度。

一种基于ViT改进的轻量化恶意流量识别方法

随着物联网技术的广泛应用,针对物联网设备计算和存储能力受限的特性,设计一种高精度、轻量化的恶意流量识别方法,对于保障物联网设备的安全具有重要意义.本文提出一种基于会话中数据包的灰度图片转换方法(Packets in a Session to Grayscale Image,PS2GI)用来生成以原始流量数据构建的灰度图片,同时提出一种基于简化混合VisionTransformer(Simplified Hybrid Vision Transformer,SHViT)深度学习模型中的注意力机制的方式用来实现高精度、轻量化的恶意流量识别方法.实验结果表明,使用SHViT模型在IoT-23数据集上对比ViT模型在多分类情况的准确率降低0.17%,达到99.70%,模型的推理时间增加33.8%,达到6.37ms,但是模型的参数量降低68.1%,达到3.06M,同时模型的计算量降低41.7%.

基于后门攻击的恶意流量逃逸方法

针对基于深度学习模型的流量分类器,提出了一种利用后门攻击实现恶意流量逃逸的方法。通过在训练过程添加毒化数据将后门植入模型,后门模型将带有后门触发器的恶意流量判定为良性,从而实现恶意流量逃逸;同时对不含触发器的干净流量正常判定,保证了模型后门的隐蔽性。采用多种触发器分别生成不同后门模型,比较了多种恶意流量对不同后门模型的逃逸效果,同时分析了不同后门对模型性能的影响。实验验证了所提方法的有效性,为恶意流量逃逸提供了新的思路。

加密恶意流量检测及对抗综述

网络流量加密在保护企业数据和用户隐私的同时,也为恶意流量检测带来新的挑战.根据处理加密流量的方式不同,加密恶意流量检测可分为主动检测和被动检测.主动检测包括对流量解密后的检测和基于可搜索加密技术的检测,其研究重点是隐私安全的保障和检测效率的提升,主要分析可信执行环境和可控传输协议等保障措施的应用.被动检测是在用户无感知且不执行任何加密或解密操作的前提下,识别加密恶意流量的检测方法,其研究重点是特征的选择与构建,主要从侧信道特征、明文特征和原始流量等3类特征分析相关检测方法,给出有关模型的实验评估结论.最后,从混淆流量特征、干扰学习算法和隐藏相关信息等角度,分析加密恶意流量检测对抗研究的可实施性.

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。

恶意流量检测模型设计与实现

随着网络攻击手段的日益精进和多样化,传统安全防护面临准确识别恶意流量困难的挑战。文章针对恶意流量检测中常见的无效特征众多、数据不平衡以及攻击手段复杂化等问题,开发了一种较高效的检测方法。首先,文章提出一种数据清洗和均衡化方法,能够提升流量特征数据的质量和有效性;然后,文章结合简单循环神经网络(Recurrent Neural Network,RNN)与多头注意力机制,使检测模型能够更精确处理序列数据,有效捕捉和识别各类信息及其依赖关系,大幅提升特征提取的准确度;最后,文章利用集成学习、深度学习和机器学习的优势,使检测模型能够在有限的样本上高效学习,并快速适应不同的网络特征。实验结果表明,该方法在多个公共数据集上展现了较好的检测性能。

基于深度学习的恶意流量识别研究

随着互联网的飞速发展,个人用户、企业用户及国家重点行业均面临各种网络攻击,网络空间安全存在巨大隐患。恶意流量识别是防范网络攻击的重要前提,对保障网络安全具有重要意义。本文首先概述基于深度学习的恶意流量识别研究的背景及意义,其次分析研究的现状,介绍基于单类模型的流量识别技术和基于多类模型的流量识别技术,阐述深度学习相关技术及恶意流量识别基础的基础知识,重点设计小样本恶意流量分类的实验,保持深度学习在恶意流量识别方面的性能。

针对TLS恶意流量问题的检测和分类研究

随着加密流量的快速增长,通过传统机器学习方法来对恶意TLS流量的识别与分类效果不好。为提高对恶意流量的识别效率,本文提出一种改进卷积神经网络与长短期记忆网络结合的恶意流量检测方法。实验结果显示,该方法在识别恶意TLS流量上的二分类的F1值为93.4,在多分类实验上平均准确率为84.87,具有较好的检测和分类效果。

基于多粒度表征学习的加密恶意流量检测

现有加密恶意流量检测方法中,基于统计特征的方法存在特征提取依赖专家经验和特征之间相互独立的问题,基于原始输入的机器学习和深度学习方法存在信息不全、随机字段、单一粒度的问题,对加密流量交互行为的语义表征不足.为解决上述问题,本文提出一种基于多粒度表征学习的加密恶意流量检测方法MGREL(MultiGranularity REpresentation Learning).该方法将加密会话分为字段级和包级两个粒度分别处理.在字段级粒度中,基于词向量进行局部行为建模,提取握手报文并选取关键字段,缓解信息不全导致的语义缺失问题,将字段的字节值表示为词向量,同时增加报文类型与握手类型作为位置前缀,解决位置语义缺失的问题,采用Multi-head Attention计算字段间的交互,再通过Bi LSTM得到报文级语义;在包级粒度中,基于时空进行全局行为建模,提取包的时空状态信息并采用LSTM模型得到流级语义.将两个粒度下得到的局部行为语义和全局行为语义融合,得到加密流量的表征,解决单一粒度表征能力不足的问题.最后,通过对比实验验证本文所提方法MGREL在检测加密恶意流量方面表现最好.

基于多模型并行融合网络的恶意流量检测方法

针对单一串行深度学习检测模型提取流量特征时无法完整反映原始流量信息,且恶意流量识别精度低的问题,设计多模型并行融合网络,提出一种基于多模型并行融合网络的恶意流量检测方法。所提方法采用并行方式,融合一维卷积神经网络(1D-CNN)与双向长短期记忆(Bi-LSTM)网络进行特征提取和流量识别,各条支路均直接面向原始流量,同时提取流量的空间特征与时序特征,采用共同的全连接层进行特征融合,可更精准地反映原始流量信息并有效提高恶意流量的识别准确率。在开源NSL-KDD数据集上的实验结果表明,所提方法恶意流量检测的特征提取能力、鲁棒性以及在线学习能力等方面均表现了优越的性能。

基于Stacking与多特征融合的加密恶意流量检测

加密技术保护网络通信安全的同时,大量恶意软件也采用加密协议来隐藏其恶意行为。在现有基于机器学习的TLS加密恶意流量检测模型中,存在单模型检测算法对多粒度特征适用性差和混合流量检测误报率高的问题。提出基于Stacking策略和多特征融合的非解密TLS加密恶意流量检测方法。分析加密恶意流量特征多粒度的特点,提取流量的流特征、连接特征和TLS握手特征。对所提取的特征通过特征工程进行规约处理,从而减少计算开销。对规约处理后的3类特征分别建立随机森林、XGBoost和高斯朴素贝叶斯分类器模型学习隐藏在流量内部的规律。在此基础上,使用流指纹融合处理后的多维特征,利用Stacking策略组合3个分类器,构成DMMFC检测模型来识别网络中的TLS加密恶意流量。基于CTU-13公开数据集对构建的模型进行性能评估,实验结果表明,该方法在二分类实验上识别召回率高达99.93%,恶意流量检测的误报率低于0.10%,能够有效检测非解密的TLS加密恶意流量。

基于CNN CBAM-BiGRU Attention的加密恶意流量识别

对网络流量进行加密有助于保护数据安全和用户隐私,但是加密也隐藏了数据的特征,提高了恶意流量识别的难度。针对传统机器学习方法依赖专家经验、现有深度学习方法对加密流量特征表征能力不足等问题,提出一种在不解密的前提下自动提取空间特征和时序特征以进行加密恶意流量识别的CNN CBAM-BiGRU Attention模型。该模型分为空间特征提取与时序特征提取两部分:空间特征提取选用不同大小的一维卷积核,为了防止空间特征丢失,修改卷积层参数代替池化层进行特征压缩和去除冗余,再利用CBAM块对提取到的不同尺寸的空间特征进行加权,使得模型能够关注到区分度高的空间特征;时序特征提取部分利用双向门控循环单元来表征数据包之间的时序依赖关系,然后利用Attention来突出会话中重要的数据包。在此基础上,将两部分特征向量进行融合,利用Softmax分类器进行二分类和多分类。在公开数据集上进行实验,结果表明,该模型在二分类任务中的加密恶意流量识别准确率达到99.95%,在多分类任务中整体准确率达到99.39%,在Dridex与Zbot类别的加密恶意流量识别中F1值相比1D_CNN、BiGRU等模型有显著提高。

面向加密恶意流量的噪声标签检测方法

对于基于数据驱动的加密恶意流量检测模型的训练及其评估,处理有噪声的数据集仍然是一项挑战,提出了一种基于KRPD-DT的噪声标签检测方法,使用差分训练的思想同时训练2个相同的模型,提取样本在2个模型中训练的损失,根据干净样本和噪声样本在训练行为上的差异性检测出噪声样本.同时,为了放大样本间损失上的差异,提出了基于KLIEP-RPD的相对噪声权重估计方法,估计每个样本的相对概率密度,并把它作为样本损失行为的权重.该方法在对CIC-DoHBrw2020数据集清洗过后,有效地恢复了恶意DoH流量检测模型的性能,实验验证了该方法具有不错的稳定性,并超过了其他几种噪声检测方法.

基于生成式零样本学习的未知恶意流量分类方法

未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.

基于超图神经网络的恶意流量分类模型

随着网络的普及和依赖程度的不断增加,恶意流量的泛滥已经成为网络安全领域的严重挑战。在这个数字时代,网络攻击者不断寻找新的方式来侵入系统、窃取数据和破坏网络服务。开发更有效的入侵检测系统,及时发现并应对恶意流量,可以应对网络攻击的持续威胁,极大地减少网络攻击带来的损失。然而现有的恶意流量分类方法存在一些限制,其中之一是过度依赖对数据特征的选择。为了提高恶意流量分类的效果,提出了一种创新的方法,即基于超图神经网络的恶意流量分类模型。这一模型的核心思想是将流量数据表示为超图结构,并利用超图神经网络(HGNN,hypergraph neural network)来捕获流量的空间特征。HGNN能够更全面地考虑流量数据之间的关系,从而更准确地表征恶意流量的特征。此外,为了处理流量数据的时间特征,引入了循环神经网络(RNN,recurrent neural network),进一步提高了分类模型的性能。最终,提取的时空特征被用于进行恶意流量分类,从而帮助检测网络中的潜在威胁。通过一系列消融实验,验证了HGNN+RNN模型的有效性,证明其能够高效提取流量的时空特征,从而改善了恶意流量的分类性能。在3个广泛使用的开源数据集,即NSL-KDD、UNSW-NB15和CIC-IDS-2017上,模型取得了卓越的分类准确率,分别达到了94%、95.6%和99.08%。这些结果表明,基于超图神经网络的恶意流量分类模型在提高网络安全水平方面具有潜在的重要意义,有望帮助网络安全领域更好地应对不断演变的网络威胁。

基于深度学习的恶意流量检测及攻击识别研究

针对日益复杂的网络安全威胁,本文探讨了基于深度学习的恶意流量检测及攻击识别方法。本文提出利用自适应提升法和长短期记忆网络相结合的方法以实现更高的检测准确率和攻击识别率,其中自适应提升法用于加权分类器集成,通过迭代优化提高检测性能。长短期记忆(long short-term memory, LSTM)则用于建模网络通信流量的时序特征,实现对流量中隐含的攻击模式的识别。实验结果表明,本文方法与差商算法(quotient-difference algorithm, QDA)和K近邻算法(K-nearst neighbor, KNN)相比,有较高的检测和识别准确率,本方法在恶意流量检测和攻击识别方面具有显著优势,可为网络安全防护提供更准确的参考。

基于大数据分析的网络恶意流量监测技术研究

随着信息技术的飞速发展,网络已经成为人们日常生活和商业活动中不可或缺的一部分。然而,网络的普及也使网络攻击与威胁的概率增加,如分布式拒绝服务攻击(DDoS)、恶意软件传播等。为了维护网络的稳定与安全,研究基于大数据分析的网络恶意流量监测技术变得至关重要。文章分析了基于大数据分析的网络恶意流量监测技术,并结合网络恶意流量监测的具体要求,分析了大数据技术在网络恶意流量监测中的应用的可行性与具体方向,在此基础上提出了基于大数据分析的网络恶意流量监测的实施方法,使系统实时监测异常流量,并能迅速响应,从而提高网络的安全性。

密文恶意流量智能分类研究综述

随着加密流量技术的快速发展,越来越多网络攻击行为利用加密伪装逃脱检测。针对加密恶意流量检测问题,文章对现有的基于机器学习的密文恶意流量分类方法进行了梳理,讨论了这些方法的分类效果和优缺点,总结了现有方法的不足,为密文恶意流量智能分类技术的发展提供了一定的借鉴。

小样本下基于决策树-SNN的恶意流量检测方法

针对目前小样本下的恶意流量检测方法存在准确度低、特征提取不足和模型过拟合问题,提出了一种小样本下基于改进决策树-孪生神经网络的恶意流量检测算法。为了降低小样本下多分类任务的难度,利用类间中心距离构建二叉决策树将多分类问题转换为二分类问题。将孪生神经网络的对比分支设计为三支一维卷积神经网络并行的结构来解决小样本下特征提取不足问题。引入了通过池化策略和一维卷积操作优化的SE(squeeze-andexcitation)模块,以减少小样本下模型过拟合问题。通过对比样本的相似度实现了恶意流量检测。实验结果表明,所提方法在小样本下的恶意流量检测问题上具有良好的效果。