机器学习下的网络恶意行为检测分析技术分析

随着网络技术的迅猛发展,网络安全问题日益突出,其中网络恶意行为的检测显得尤为重要。深入探讨机器学习在网络恶意行为检测中的应用,并通过实验验证不同机器学习算法的有效性。首先,介绍了四种典型的机器学习算法,并选择真实的网络流量数据进行实验验证。接着,详细阐述了数据的采集、处理及实验过程,然后对实验结果进行了全面的分析和讨论。实验结果表明,卷积神经网络(Convolutional Neural Network,CNN)在恶意行为检测中具有显著优势。最后,对机器学习算法的局限性和未来发展进行了讨论。

基于序列模式发现的恶意行为检测方法

为有效预防变形病毒和新出现的恶意软件,提出一种基于序列模式发现的恶意行为静态检测方法。将恶意代码转换为汇编代码,对其进行预处理,采用类Apriori算法完成序列模式发现,并去除正常模式,得到可用于未知恶意代码检测的模式集合。实验结果表明,该方法的正确率较高、漏报率较低。

基于数据挖掘的恶意行为检测方法

Intrusion Detection System(IDS) is an important network security technique. It can dynamic detect the network attack behaviors. At present, great issues for IDS are incapable of detecting the unknown malicious attack behaviors. So that, some new detection techniques are presented,data mining-based detection technique is an effective method in them. In this paper, data mining-based detection method and its key techniques are discussed in detail.

一种基于组合事件行为触发的Android恶意行为检测方法

当前Android恶意应用程序在传播环节缺乏有效的识别手段,对此提出了一种基于自动化测试技术和动态分析技术的Android恶意行为检测方法。通过自动化测试技术触发Android应用程序的行为,同时构建虚拟的沙箱监控这些行为。设计了一种组合事件行为触发模型——DroidRunner,提高了Android应用程序的代码覆盖率、恶意行为的触发率以及Android恶意应用的检测率。经过实际部署测试,该方法对未知恶意应用具有较高的检测率,能帮助用户发现和分析未知恶意应用。

信息网络内生恶意行为检测框架

“内生安全”赋予信息网络自学习、自成长的能力,是构建可信智能通信网络不可或缺的重要组成部分。面向信息网络“内生安全”,提出了一种内生恶意行为检测框架,变被动防御为主动拦截。同时,对内生恶意行为检测框架中五大关键组件进行了建模分析,并对自学习、自成长的恶意行为检测机制进行了阐述。最后,搭建原型系统并进行了实验,实验结果表明了检测框架的可行性和有效性。

一种针对弱监管路由设备的恶意行为检测方法

当前,互联网安全领域对路由设备的重视程度日渐加深,但传统的安全防护策略存在一定的局限性,特别是弱监管的路由设备,难以有效地监管和维护。提出一种轻量级的针对路由设备的恶意行为检测系统,利用加载于弱监管路由设备的轻量级程序监控其流量和配置的变化,识别恶意攻击行为并告警。通过在Cisco路由器与Mikrotik路由器上部署监测程序验证该方法的有效性。测试结果表明本文研究的方法能有效发现针对路由设备的恶意行为,且适用于不同厂商、多种类型的设备,可快速、有效、便捷地监测弱监管路由设备,提升路由器的防护能力。

基于特征组合优化的工业互联网恶意行为实时检测方法

工业互联网中节点数据具有高维、冗余和海量等特性,传统的恶意行为检测模型无法对工业互联网恶意攻击行为做出快速且准确的判断,提出基于特征组合优化的工业互联网恶意行为实时检测方法.采用改进的相关性快速过滤算法和基于奇异值分解的主成分分析算法对工业互联网恶意行为样本数据进行特征组合优化,基于对称不确定性信息度量指标和近似马尔科夫毯准则进行特征相关性计算、冗余特征识别与排除,通过参数特征维度的不同配置得到若干候选特征组合;利用决策树评估器筛选出准确率最高的候选特征组合;通过奇异值分解的主成分分析进一步进行特征降维,得到低维高信息量的最优特征组合;结合极端梯度提升算法和优化的特征组合对工业互联网恶意行为样本进行分类,基于密西西比州立大学多分类电力系统攻击样本数据对本文方法进行了验证;实验结果表明,特征组合优化检测模型训练时间可缩减57.53%,单个样本的平均检测时间为0.002 ms,可减少23.99%,基于特征组合优化的检测模型的准确率、召回率和F1值较特征优化前分别提升了1.11%、1.25%和1.01%.本文方法的突出优势表现为在提升模型检测效果的同时可明显降低模型检测时间,能更好适应工业互联网的实时性要求.

面向动态加载的Android恶意行为动静态检测方法

动态加载是Android提出的一种新的执行体分类的运行时加载机制,能够有效提高动态行为配置能力。但由于动态加载部分的程序不包含在APK中,因此静态分析技术无法对动态加载点的恶意行为形成有效检测,而动态分析技术则难以覆盖到所有执行路径,也无法形成充分的检测。针对该问题,提出一种动静态结合的检测方法。先对宿主APK进行静态分析提取Call-Graph,以获得动态加载点的执行路径,再通过路径制导的动态执行获取动态加载的程序,从而形成完整的分析。通过实例研究验证了该方法的有效性。

一种基于主动学习的数据库恶意行为检测方法

本文针对现有恶意软件检测系统无法保证数据库恶意行为检测的效率和精度的问题,设计了一个基于机器学习中主动学习原理的数据库恶意行为检测方法并在MySQL上实现了原型系统。测试表明该系统对数据库恶意行为检测具有较高的检测率,较低的误报率和漏报率。

基于虚拟机回放的恶意行为检测技术

云计算环境下高灵活性、高扩展性、边界泛化等特性,使得已有的恶意行为检测技术误检率高,未知恶意行为检测能力低下.本文提出了基于虚拟机回放的恶意行为检测模型,该模型包括了基于行为关联图的警报关联算法和基于虚拟机回放的预警确认机制.首先在VMM层部署网络入侵检测和基于VMI的主机检测系统实现网络层和虚拟机内部的双层检测,然后警报关联结合双层检测结果进行综合评判发出预警,最后预警确认机制通过回放技术过滤虚假警报,并识别未知攻击.实验结果显示,回放开销相比ReVirt降低了21.8%,该方法相对于单一检测方法检测率有明显提升.

SEMBeF:一种基于分片循环神经网络的敏感高效的恶意代码行为检测框架

词向量和循环神经网络(Recurrent Neural Network,RNN)能够识别语义和时序信息,在自然语言识别方面中取得了巨大成功。同时,代码运行时产生的API调用序列也反映了代码的真实意图,因此我们将之应用于恶意代码识别中,期望在取得较高正确率的同时减少人工提取和分析代码特征工作。然而仍然存在三个问题:1)不少恶意代码故意通过随机混合调用敏感API和非敏感API破坏正常的上下文,对这两种API同等对待可能产生漏报;2)为尽可能全面收集代码行为,代码运行期间产生的API序列长度较长,这将导致RNN学习时间过长;3)经典RNN常用的softmax分类函数泛化能力不强,准确率有待提高。为了解决上述问题,本文提出了一种基于分片RNN(Sliced Recurrent Neural Network,SRNN)的敏感高效的恶意代码行为检测架构SEMBeF。在SEMBeF中,我们提出了一种安全敏感API权重增强的敏感词向量算法,使得代码表示结果既包含上下文信息又包含安全敏感权重信息;我们还提出了一种SGRU-SVM网络结构,通过并行计算大幅降低了因代码API调用序列过长引起的训练时间过长的问题,提高了检测正确率;最后针对样本平衡和网络模型超参数选择问题进行了优化,进一步提高了检测正确率。本文还实现了SEMBeF验证系统,实验表明,与其他基于经典词向量和RNN的深度学习方法以及常用的机器学习方法相比,SEMBeF不仅检测正确率最高,训练效率也得到了显著提升。其中,检测正确率和训练时间分别为99.40%和210分钟,与传统RNN相比,正确率提高了0.48%,训练时间下降了96.6%。

基于速率修正PSO和核基ELM的云数据库恶意行为识别方法

众所周知,云数据库已在各行各业广泛应用并且发挥着不可替代的作用。但正是云数据库的可扩展、分布式以及虚拟化的特性,导致了云数据库面对恶意行为时表现出明显的脆弱性。因此为了提高云数据库的安全性,开展针对恶意行为智能检测的相关研究是至关重要的。对粒子群优化算法进行了改进并与核极限学习机相结合,提出了一种基于改进粒子群优化和核极限学习机的恶意行为识别模型(KE-VP),通过分析云数据库上的网络流量来检测是否存在恶意行为并将恶意行为准确分类为具体的攻击类型。通过实验分析,发现KE-VP与现有方案相比具备更好的检测精度和检测效率。