基于样本加权FCM聚类的未知类别局部放电信号识别

针对电力变压器待识别局部放电信号中可能存在不属于已知类别的未知样本的问题,提出了一种基于样本加权模糊C均值(FCM)聚类的未知类别局部放电信号识别方法。对已知类别的局部放电信号进行FCM聚类,确定各已知类的聚类中心;分别计算已知类别和待识别局部放电信号的样本权值,并根据Otsu准则确定样本权值的自适应阈值;将各待识别局部放电信号的权值与确定的阈值进行比较,判断其是否属于已知类别;采用支持向量机(SVM)对得到的属于已知类别的待识别局部放电信号进行分类,对未知类别样本进行人为分析判断。采用所提方法对实验室条件下的放电信号进行分析,实验结果表明,所提方法可以有效地区分待识别局部放电信号中的未知类别样本。

基于攻击流量自生成的DNS隐蔽信道检测方法

高级持续性威胁(Advanced Persistent Threat,APT)是当前最为严重的网络安全威胁之一.DNS隐蔽信道(DNS Covert Channel,DCC)由于其泛在性、隐蔽性成为攻击者手中理想的秘密信息传输通道,受到诸多APT组织的青睐.人工智能赋能的DCC检测方法逐步流行,但APT攻击相关恶意样本获取难、活性低等原因造成训练数据不平衡问题明显,严重影响了模型的检测性能.同时,已有检测工作使用DCC工具流量及少数恶意样本来评估系统,测试集覆盖范围有限,无法对系统进行全面、有效的评估.针对上述问题,本文基于攻击战术、技术和程序(Tactics,Techniques,and Procedures,TTPs)设计DCC流量生成框架并生成完备度可控的、覆盖大样本空间的、大数据量的恶意流量数据集.基于本研究生成的数据集,训练可解释性较强的机器学习模型,提出基于攻击流量自生成的DCC检测系统——DCCHunter.本研究收集了8个DCC恶意软件流量样本,复现了已被APT组织恶意运用的3个DCC工具产生流量,基于上述真实恶意样本评估系统对其未知的、真实的DCC攻击的检测能力.结果发现,系统对DCC的召回率可达99.80%,对数以亿计流量的误报率为0.29%.