利用超声波检测流量的高精度系统

讨论了超声波在流体内传播过程中流速补偿问题,建立了流量测量的数学模型,并给出测量系统的结构框图.针对超声检测流量中的流场分布情况,采用高电压窄脉冲信号触发超声波发射电路、高频振荡计数与相敏检波相结合的高精度在线检测方法提高测量的精度,并利用系统内存储的测量环境数据和实际测量时的温度对测量结果进行补偿,保证测量的稳定性;分析了测量误差来源以及消除误差的方法.

面向软件定义网络的异常流量检测研究综述

针对软件定义网络(SDN)较传统网络更易遭受网络攻击的现实,从技术原理和架构特点出发,对近年来面向软件定义网络的异常流量检测研究进展进行综述,分析了SDN可能遭受网络攻击的组织形式,讨论了当前SDN异常流量检测、异常流量溯源、异常流量缓解相关技术的特点、优势及不足;对当前研究中常用的数据集进行了对比分析,并梳理出一些通用的数据预处理方法;总结并展望了未来SDN环境下异常流量检测方法的研究方向。调研结果可以指导实际应用需求中适配方法的选取,提出待解决的问题和矛盾可为后续研究提供引导。

基于端口注意力与通道空间注意力的网络异常流量检测

网络异常流量检测是网络安全保护重要组成部分之一。目前,基于深度学习的异常流量检测方法都是将端口号属性与其他流量属性同等对待,忽略了端口号的重要性。为了提高异常流量检测性能,借鉴注意力思想,提出一个卷积神经网络(CNN)结合端口注意力模块(PAM)和通道空间注意力模块(CBAM)的网络异常流量检测模型。首先,将原始网络流量作为PAM的输入,分离得到端口号属性送入全连接层,得到学习后的端口注意力权重值,并与其他流量属性点乘,输出端口注意力后的流量数据;其次,将流量数据转换成灰度图,利用CNN和CBAM更充分地提取特征图在通道和空间上的信息;最后,使用焦点损失函数解决数据不平衡的问题。所提PAM具有参数量少、即插即用和普遍适用的优点。在CICIDS2017数据集上,所提模型的异常流量检测二分类任务准确率为99.18%,多分类任务准确率为99.07%,对只有少数训练样本的类别也有较高的识别率。

一种基于多模型融合的隐蔽隧道和加密恶意流量检测方法

高级持续威胁APT攻击为了躲避检测,攻击者往往采用加密恶意流量和隐蔽隧道等策略隐匿恶意行为,从而增加检测的难度。目前大多数检测DNS隐蔽隧道的方法基于统计、频率、数据包等特征,这种方法不能很好地进行实时检测,从而导致数据泄露,因此,需要根据单个DNS请求进行检测而不是对流量进行统计后再检测,才能够实现实时且可靠的检测,当系统判定单个DNS请求为隧道流量,便可做出响应,进而避免数据泄露。而现有的加密恶意检测方法存在无法完整提取流量特征信息、提取特征手段单一、特征利用少等问题。因此,文章提出了基于多模型融合的隐蔽隧道加密恶意流量检测方法。对于DNS隐蔽隧道,文章提出了MLP、1D-CNN、RNN模型融合的检测方法并根据提出的数学模型计算融合结果,该方法能够对隐蔽隧道实时监测,进一步提高检测的整体准确率。对于加密恶意流量,文章提出了1D-CNN、LSTM模型的并行融合的检测方法,并行融合模型能够更加全面地提取特征信息,反应流量数据的全貌,进而提高模型的检测精度。

融合1D-CNN与BiGRU的类不平衡流量异常检测

网络流量异常检测是利用各种检测技术分析判断网络流量,发现网络中潜在的攻击,是一种有效的网络安全防护方法。针对高维海量数据和不同攻击类别的网络流量数据不均衡而导致检测准确率低、误报率高的问题,提出一种融合一维卷积神经网络(1D-CNN)和双向门控循环单元(BiGRU)的类不平衡流量异常检测模型。首先,针对类不平衡数据,通过使用改进的合成少数类过采样技术(SMOTE)即Borderline-SMOTE和基于高斯混合模型(GMM)的欠采样聚类技术进行平衡处理;然后,使用1D-CNN提取数据的局部特征,并利用BiGRU更好地提取数据中的时序特征;最后,在UNSW-NB15数据集对所提模型进行验证,所提模型的准确率为98.12%,误报率为1.28%。结果表明,所提模型提高了对少数攻击的识别率,检测精度高于其他经典机器学习和深度学习模型。

基于多维度融合注意力的舰船网络异常流量检测

舰船网络通信系统的正常运行是保障舰船安全航行的基础。针对现有舰船网络通信系统访问流量异常检测模型检测精度不高和实时性不强的问题,提出一种基于多维度融合注意力的轻量级舰船网络服务器异常流量检测算法。利用Bidirectional Encoder Representation from Transformers(BERT)作为特征编码器,将捕获的流量数据包映射到深度特征空间;利用深度可分离卷积(Depth-Separable Convolutional, DSC)网络和长短时记忆(Long Short Term Memory, LSTM)神经网络捕获深度编码特征的空间编码特征和时间维度的编码特征;提出一种多维度融合注意力模块,将空间和时间维度的编码特征进行特征融合;利用多维度融合特征进行正常与异常流量的分类。通过在自建的舰船流量异常数据集上进行测试,结果表明所提出模型能够有效检测出舰船网络通信系统的异常访问流量,在保持检测精度的同时,降低了检测时间开销。

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。

基于网络流量时空特征和自适应加权系数的异常流量检测方法

针对传统异常流量检测模型对流量数据时空特性利用率较低从而导致检测模型性能较差的问题,该文提出一种基于融合卷积神经网络(CNN)、多头挤压激励机制(MSE)和双向长短期记忆(BiLSTM)网络的异常流量检测方法MSECNN-BiLSTM。利用1维CNN挖掘空间尺度下的异常流量特征,并引入MSE,多角度自适应特征加权,强化模型全局特征的关联能力。将网络流量的特征输入BiLSTM,捕捉流量数据的时序依赖性,进一步建立网络流量在时间尺度上的关系模型。利用softmax分类器进行预测分类,实验结果验证了所提模型在异常流量检测领域的有效性。

基于信息熵与服务器识别的DoH流量检测

DNS over HTTPS(DoH)协议是一种针对域名系统(DNS)的最新改进方案,然而用户可使用第三方DoH服务规避内网原有的监管,所以异常流量检测方法不再适用于检测DoH流量。针对该问题提出了一种DTESI算法。首先,基于信息熵将DoH流量作为异常流量从全部网络流量中筛选出来;然后,利用DoH服务器与同一客户端建立TLS连接时响应方式总是相同的特性,用指纹识别检测客户端与DoH服务器之间的TLS协商,确定DoH服务器身份;最后,使用Top-K抽样算法选出一定时段内网络中前K台活跃主机着重进行流量检测,使算法能应用于中大型组织的网络。实验结果表明,针对发现的异常流量,DTESI算法检测出的DoH服务提供商准确率超过94%。在此基础上比较了在不同K值下的算法检测时间和对网络中全部DoH流量的检测覆盖率,结果表明合理选择K值可以提升算法的整体效能。

基于CNN+GRU的网络恶意流量检测算法

针对网络恶意流量检测精确度和效率低等问题,提出了一种基于CNN+GRU算法的网络异常流量检测模型(CN-RU)。模型使用卷积神经网络和门控循环单元来分别自动化提取流量的空间和时间特征,全方位的收集网络流量特征。模型使用多个小卷积核和少参数的门控循环单元来准确提取流量特征的同时减小模型参数,达到提高检测精度与效率的目的。实验使用ISCX IDS2012、CIC-IDS2017、UNSW-NB15三种数据集进行效果评估,对比不同算法的网络流量检测模型,实验结果表明所提出的CNN+GRU结构模型解决了神经网络模型梯度消失问题的同时大幅度提高准确率和检测效率。模型具有较高的应用价值,在网络安全管理应用上有更好的普适性。

加密恶意流量检测及对抗综述

网络流量加密在保护企业数据和用户隐私的同时,也为恶意流量检测带来新的挑战.根据处理加密流量的方式不同,加密恶意流量检测可分为主动检测和被动检测.主动检测包括对流量解密后的检测和基于可搜索加密技术的检测,其研究重点是隐私安全的保障和检测效率的提升,主要分析可信执行环境和可控传输协议等保障措施的应用.被动检测是在用户无感知且不执行任何加密或解密操作的前提下,识别加密恶意流量的检测方法,其研究重点是特征的选择与构建,主要从侧信道特征、明文特征和原始流量等3类特征分析相关检测方法,给出有关模型的实验评估结论.最后,从混淆流量特征、干扰学习算法和隐藏相关信息等角度,分析加密恶意流量检测对抗研究的可实施性.

恶意流量检测模型设计与实现

随着网络攻击手段的日益精进和多样化,传统安全防护面临准确识别恶意流量困难的挑战。文章针对恶意流量检测中常见的无效特征众多、数据不平衡以及攻击手段复杂化等问题,开发了一种较高效的检测方法。首先,文章提出一种数据清洗和均衡化方法,能够提升流量特征数据的质量和有效性;然后,文章结合简单循环神经网络(Recurrent Neural Network,RNN)与多头注意力机制,使检测模型能够更精确处理序列数据,有效捕捉和识别各类信息及其依赖关系,大幅提升特征提取的准确度;最后,文章利用集成学习、深度学习和机器学习的优势,使检测模型能够在有限的样本上高效学习,并快速适应不同的网络特征。实验结果表明,该方法在多个公共数据集上展现了较好的检测性能。

基于S-UBayFS特征选择的网络流量异常检测方法

研究网络流量异常检测的方法,针对传统机器学习方法的局限性,提出一种基于S-UBayFS-GRU的检测算法。该算法分为3个步骤:利用SNHA算法从大量的网络流量特征中筛选出有因果关系的特征,形成“关联链”;利用“关联链”和网络安全领域知识,给特征赋值权重和侧面约束,用UBayFS算法进行特征选择,降低特征维度,提高特征质量;利用GRU循环神经网络对筛选后的特征进行学习和预测,实现网络流量异常检测。实验结果表明,提出的S-UBayFS-GRU算法在各项评价指标上均优于其他方法。

基于分层自编码器的异常网络流量检测

通过研究现有异常网络流量检测技术存在的问题,提出了一种分层自编码器(HAE)集成模型,以无监督的学习方式摆脱了传统检测方法对于样本标签和攻击样本的依赖,以分层集成的方式学习正常流量的多种分布特征提高单个自编码的检测效果。与现有集成学习方式不同,HAE以串行的方式学习上一自编码器学得不好的样本,降低了训练和测试时间。仿真实验结果表明,相比传统的异常检测方法,HAE具有更高的检测率。

基于会话统计编码器的恶意加密流量检测方法研究

随着网络技术的发展和广泛应用,加密流量已成为保护用户隐私的关键技术。但同时,恶意软件和攻击者也利用加密流量来隐藏其行为,规避传统的网络入侵检测系统。现有的恶意加密流量检测方法存在一些问题,如基于统计特征的方法需要依赖专家经验进行特征提取,且不同协议的特征无法通用;基于原始输入的深度学习方法存在信息不完整和字段填充等数据问题,对加密流量交互行为的语义表征不足。为解决上述问题,提出了一种名为会话统计编码器模型(Conversation Statistic Encoder Model,CSEM)的方法。与传统的将字节流输入深度神经网络的模式不同,该方法借鉴了transformer-encoder模型,引入了一种新的流量包特征解析方式。所提方法能够针对每个流量包构建出固定长度的向量表示,并且无需进行零填充,同时避免了特征提取过程对具体加密协议的依赖,构建了一个混合深度神经网络,为恶意加密流量检测提供了一种新的思路。在DataCon和自建数据集上对所提模型进行了验证,其在DataCon公开数据集上的召回率达到了0.9911,精确率达到了0.9407,F1值达到了0.9652(相比随机森林模型F1值提升了9%),几项指标均达到了目前的最佳水平。

基于溯因学习的无监督网络流量异常检测

当前计算机网络流量异常检测面临缺乏标注信息的挑战,同时用户需要自行选择合适的技术并调整参数,但没有标签可用于交叉验证。为此,文章提出一种基于溯因学习的无监督网络流量异常检测(ABL-ATD)模型。该模型通过自动生成伪标签,并利用演绎与一致性验证生成高质量标签,避免人工干预。ABL-ATD从多种无监督异常检测模型中提取有效信号,并通过验证与修正,可靠区分异常流量和正常流量。实验结果表明,该模型在多个数据集上展现出与使用真实标签训练的监督学习模型相当的准确性。

基于自适应集成学习的异常流量检测

提出了一种基于自适应集成学习的异常流量检测方法,使用离散傅里叶变换提取流量的频域特征,使得对流量特征提取过程中信息损失较小.用一种基于稳定性和准确性波动的评估指标来动态评估当前流量特征的可靠性,通过评估的特征数据块用于生成新的子分类器.同时,设计了一种集成自适应分类器,其参数和子分类器会根据当前的情况进行实时调整.实验结果表明,该方法对于解决异常流量检测中的概念漂移问题和机器学习对抗攻击问题有良好的效果.

一种基于半监督学习的网络异常流量检测方法

针对网络流量数据存在标记样本获取困难、实际数据类别不平衡等问题,提出一种合成数据增强的半监督网络异常流量检测方法(SEASAND)。SEASAND利用无标记数据辅助模型学习,只需少量的有标签数据即可达到较高识别准确率,降低了训练成本。考虑一致性正则和熵最小化原则,通过混合采样解决网络流量数据不平衡的问题,并采用混合样本算法对样本进行二次数据增强,提高了对无标记数据的利用效率。最后利用一维残差网络Resnet1D 18对数据增强后的数据集进行训练。SEASAND在KDDCup9910、UNSW-NB15、CICIDS2017数据集上进行仿真实验,结果表明,与相关算法对比,SEASAND在少样本、多分类问题上具有较好的性能,降低了对有标记样本量的需求。

基于机器学习的异常流量检测模型优化研究

在软件定义网络(Software Defined Network,SDN)中,异常流量检测方法在实践中存在一些问题,主要体现在误报率高和虚警频繁等方面。为了应对网络中的异常流量攻击,研究人员开始探索机器学习异常流量检测方法。然而,机器学习方法面临着数据集庞大和数据维度高等挑战,这些因素影响了机器学习的效率和准确率,因此需要进行数据降维处理。主成分分析算法(Principal Component Analysis,PCA)作为基于线性变换的降维算法,存在一定的局限性,无法有效估计主成分。为了解决该问题,文中提出了一种改进的降维算法,即聚类高斯核主成分分析(C-means Gaussian Kernel Principal Component Analysis,CGKPCA),它扩展了非线性变换的能力。同时,还针对分类模型进行了改进,提出了改进的堆叠分类模型(Support Vector Machine Stacking,SVMS)。为了验证所提方法的有效性,文中使用开源数据集KDDCPU99和UNSW-NB15进行了实验。实验结果表明,所提出的二分类检测模型在性能指标上明显领先于其他模型。