BSTFNet:An Encrypted Malicious Traffic Classification Method Integrating Global Semantic and Spatiotemporal Features

While encryption technology safeguards the security of network communications,malicious traffic also uses encryption protocols to obscure its malicious behavior.To address the issues of traditional machine learning methods relying on expert experience and the insufficient representation capabilities of existing deep learning methods for encrypted malicious traffic,we propose an encrypted malicious traffic classification method that integrates global semantic features with local spatiotemporal features,called BERT-based Spatio-Temporal Features Network(BSTFNet).At the packet-level granularity,the model captures the global semantic features of packets through the attention mechanism of the Bidirectional Encoder Representations from Transformers(BERT)model.At the byte-level granularity,we initially employ the Bidirectional Gated Recurrent Unit(BiGRU)model to extract temporal features from bytes,followed by the utilization of the Text Convolutional Neural Network(TextCNN)model with multi-sized convolution kernels to extract local multi-receptive field spatial features.The fusion of features from both granularities serves as the ultimate multidimensional representation of malicious traffic.Our approach achieves accuracy and F1-score of 99.39%and 99.40%,respectively,on the publicly available USTC-TFC2016 dataset,and effectively reduces sample confusion within the Neris and Virut categories.The experimental results demonstrate that our method has outstanding representation and classification capabilities for encrypted malicious traffic.

Suboptimal Feature Selection Techniques for Effective Malicious Traffic Detection on Lightweight Devices

With the advancement of wireless network technology,vast amounts of traffic have been generated,and malicious traffic attacks that threaten the network environment are becoming increasingly sophisticated.While signature-based detection methods,static analysis,and dynamic analysis techniques have been previously explored for malicious traffic detection,they have limitations in identifying diversified malware traffic patterns.Recent research has been focused on the application of machine learning to detect these patterns.However,applying machine learning to lightweight devices like IoT devices is challenging because of the high computational demands and complexity involved in the learning process.In this study,we examined methods for effectively utilizing machine learning-based malicious traffic detection approaches for lightweight devices.We introduced the suboptimal feature selection model(SFSM),a feature selection technique designed to reduce complexity while maintaining the effectiveness of malicious traffic detection.Detection performance was evaluated on various malicious traffic,benign,exploits,and generic,using the UNSW-NB15 dataset and SFSM sub-optimized hyperparameters for feature selection and narrowed the search scope to encompass all features.SFSM improved learning performance while minimizing complexity by considering feature selection and exhaustive search as two steps,a problem not considered in conventional models.Our experimental results showed that the detection accuracy was improved by approximately 20%compared to the random model,and the reduction in accuracy compared to the greedy model,which performs an exhaustive search on all features,was kept within 6%.Additionally,latency and complexity were reduced by approximately 96%and 99.78%,respectively,compared to the greedy model.This study demonstrates that malicious traffic can be effectively detected even in lightweight device environments.SFSM verified the possibility of detecting various attack traffic on lightweight devices.

Detecting While Accessing:A Semi-Supervised Learning-Based Approach for Malicious Traffic Detection in Internet of Things

In the upcoming large-scale Internet of Things(Io T),it is increasingly challenging to defend against malicious traffic,due to the heterogeneity of Io T devices and the diversity of Io T communication protocols.In this paper,we propose a semi-supervised learning-based approach to detect malicious traffic at the access side.It overcomes the resource-bottleneck problem of traditional malicious traffic defenders which are deployed at the victim side,and also is free of labeled traffic data in model training.Specifically,we design a coarse-grained behavior model of Io T devices by self-supervised learning with unlabeled traffic data.Then,we fine-tune this model to improve its accuracy in malicious traffic detection by adopting a transfer learning method using a small amount of labeled data.Experimental results show that our method can achieve the accuracy of 99.52%and the F1-score of 99.52%with only 1%of the labeled training data based on the CICDDoS2019 dataset.Moreover,our method outperforms the stateof-the-art supervised learning-based methods in terms of accuracy,precision,recall and F1-score with 1%of the training data.

Malicious Traffic Detection in IoT and Local Networks Using Stacked Ensemble Classifier

Malicious traffic detection over the internet is one of the challenging areas for researchers to protect network infrastructures from any malicious activity.Several shortcomings of a network system can be leveraged by an attacker to get unauthorized access through malicious traffic.Safeguard from such attacks requires an efficient automatic system that can detect malicious traffic timely and avoid system damage.Currently,many automated systems can detect malicious activity,however,the efficacy and accuracy need further improvement to detect malicious traffic from multi-domain systems.The present study focuses on the detection of malicious traffic with high accuracy using machine learning techniques.The proposed approach used two datasets UNSW-NB15 and IoTID20 which contain the data for IoT-based traffic and local network traffic,respectively.Both datasets were combined to increase the capability of the proposed approach in detecting malicious traffic from local and IoT networks,with high accuracy.Horizontally merging both datasets requires an equal number of features which was achieved by reducing feature count to 30 for each dataset by leveraging principal component analysis(PCA).The proposed model incorporates stacked ensemble model extra boosting forest(EBF)which is a combination of tree-based models such as extra tree classifier,gradient boosting classifier,and random forest using a stacked ensemble approach.Empirical results show that EBF performed significantly better and achieved the highest accuracy score of 0.985 and 0.984 on the multi-domain dataset for two and four classes,respectively.

一种基于多模型融合的隐蔽隧道和加密恶意流量检测方法

高级持续威胁APT攻击为了躲避检测,攻击者往往采用加密恶意流量和隐蔽隧道等策略隐匿恶意行为,从而增加检测的难度。目前大多数检测DNS隐蔽隧道的方法基于统计、频率、数据包等特征,这种方法不能很好地进行实时检测,从而导致数据泄露,因此,需要根据单个DNS请求进行检测而不是对流量进行统计后再检测,才能够实现实时且可靠的检测,当系统判定单个DNS请求为隧道流量,便可做出响应,进而避免数据泄露。而现有的加密恶意检测方法存在无法完整提取流量特征信息、提取特征手段单一、特征利用少等问题。因此,文章提出了基于多模型融合的隐蔽隧道加密恶意流量检测方法。对于DNS隐蔽隧道,文章提出了MLP、1D-CNN、RNN模型融合的检测方法并根据提出的数学模型计算融合结果,该方法能够对隐蔽隧道实时监测,进一步提高检测的整体准确率。对于加密恶意流量,文章提出了1D-CNN、LSTM模型的并行融合的检测方法,并行融合模型能够更加全面地提取特征信息,反应流量数据的全貌,进而提高模型的检测精度。

基于黑客画像的网络攻击者识别方法

为能够准确、快速识别网络攻击者,提出一种基于黑客画像的网络攻击者识别方法。构建将稀疏自编码器和贝叶斯神经网络相结合的SAE-BNN模型,检测不同攻击类型的恶意流量;针对不同的恶意流量,通过提取黑客属性特征、流量特征、时间特征和相似性特征,与事先建立的黑客画像库中的黑客画像进行匹配。如果与某个黑客画像完全匹配,则由此确定该黑客的身份。当不能与黑客画像库中的任何黑客画像进行匹配时,将该黑客的特征作为标签,构建新的黑客画像,并更新画像库。实验结果表明,提出的异常流量识别方法在精度、召回率、F1值和准确率上均有提升。基于黑客画像的黑客识别算法与常规方法相比,极大提高了识别效率。

一种基于ViT改进的轻量化恶意流量识别方法

随着物联网技术的广泛应用,针对物联网设备计算和存储能力受限的特性,设计一种高精度、轻量化的恶意流量识别方法,对于保障物联网设备的安全具有重要意义.本文提出一种基于会话中数据包的灰度图片转换方法(Packets in a Session to Grayscale Image,PS2GI)用来生成以原始流量数据构建的灰度图片,同时提出一种基于简化混合VisionTransformer(Simplified Hybrid Vision Transformer,SHViT)深度学习模型中的注意力机制的方式用来实现高精度、轻量化的恶意流量识别方法.实验结果表明,使用SHViT模型在IoT-23数据集上对比ViT模型在多分类情况的准确率降低0.17%,达到99.70%,模型的推理时间增加33.8%,达到6.37ms,但是模型的参数量降低68.1%,达到3.06M,同时模型的计算量降低41.7%.

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。

基于后门攻击的恶意流量逃逸方法

针对基于深度学习模型的流量分类器,提出了一种利用后门攻击实现恶意流量逃逸的方法。通过在训练过程添加毒化数据将后门植入模型,后门模型将带有后门触发器的恶意流量判定为良性,从而实现恶意流量逃逸;同时对不含触发器的干净流量正常判定,保证了模型后门的隐蔽性。采用多种触发器分别生成不同后门模型,比较了多种恶意流量对不同后门模型的逃逸效果,同时分析了不同后门对模型性能的影响。实验验证了所提方法的有效性,为恶意流量逃逸提供了新的思路。

加密恶意流量检测及对抗综述

网络流量加密在保护企业数据和用户隐私的同时,也为恶意流量检测带来新的挑战.根据处理加密流量的方式不同,加密恶意流量检测可分为主动检测和被动检测.主动检测包括对流量解密后的检测和基于可搜索加密技术的检测,其研究重点是隐私安全的保障和检测效率的提升,主要分析可信执行环境和可控传输协议等保障措施的应用.被动检测是在用户无感知且不执行任何加密或解密操作的前提下,识别加密恶意流量的检测方法,其研究重点是特征的选择与构建,主要从侧信道特征、明文特征和原始流量等3类特征分析相关检测方法,给出有关模型的实验评估结论.最后,从混淆流量特征、干扰学习算法和隐藏相关信息等角度,分析加密恶意流量检测对抗研究的可实施性.

基于CNN+GRU的网络恶意流量检测算法

针对网络恶意流量检测精确度和效率低等问题,提出了一种基于CNN+GRU算法的网络异常流量检测模型(CN-RU)。模型使用卷积神经网络和门控循环单元来分别自动化提取流量的空间和时间特征,全方位的收集网络流量特征。模型使用多个小卷积核和少参数的门控循环单元来准确提取流量特征的同时减小模型参数,达到提高检测精度与效率的目的。实验使用ISCX IDS2012、CIC-IDS2017、UNSW-NB15三种数据集进行效果评估,对比不同算法的网络流量检测模型,实验结果表明所提出的CNN+GRU结构模型解决了神经网络模型梯度消失问题的同时大幅度提高准确率和检测效率。模型具有较高的应用价值,在网络安全管理应用上有更好的普适性。

恶意流量检测模型设计与实现

随着网络攻击手段的日益精进和多样化,传统安全防护面临准确识别恶意流量困难的挑战。文章针对恶意流量检测中常见的无效特征众多、数据不平衡以及攻击手段复杂化等问题,开发了一种较高效的检测方法。首先,文章提出一种数据清洗和均衡化方法,能够提升流量特征数据的质量和有效性;然后,文章结合简单循环神经网络(Recurrent Neural Network,RNN)与多头注意力机制,使检测模型能够更精确处理序列数据,有效捕捉和识别各类信息及其依赖关系,大幅提升特征提取的准确度;最后,文章利用集成学习、深度学习和机器学习的优势,使检测模型能够在有限的样本上高效学习,并快速适应不同的网络特征。实验结果表明,该方法在多个公共数据集上展现了较好的检测性能。

基于分层自编码器的异常网络流量检测

通过研究现有异常网络流量检测技术存在的问题,提出了一种分层自编码器(HAE)集成模型,以无监督的学习方式摆脱了传统检测方法对于样本标签和攻击样本的依赖,以分层集成的方式学习正常流量的多种分布特征提高单个自编码的检测效果。与现有集成学习方式不同,HAE以串行的方式学习上一自编码器学得不好的样本,降低了训练和测试时间。仿真实验结果表明,相比传统的异常检测方法,HAE具有更高的检测率。

基于LSTM的电力网络恶意流量攻击检测研究

随着物理电网与网络的深度融合,电网系统越来越容易受到网络攻击的威胁,其中包括恶意流量攻击。这类攻击通过网络传播恶意流量,可能导致智能电网出现通信故障,因此及时准确地检测此类攻击对电力企业至关重要。本文提出了一种基于长短期记忆(long short-term memory,LSTM)深度学习模型的实时恶意流量攻击检测方法。该方法通过实时采集网络流量并提取关键特征,利用LSTM模型识别网络流量的性质,以判断网络是否遭受攻击。此外,在软件定义网络(software-defined networking,SDN)架构下构建了一个相应的原型系统。原型系统实验结果显示,该方法能有效抵御实际网络中的恶意流量攻击,提高了电网的网络安全。

基于轻量化随机森林算法的物联网流量分类

为解决物联网设备资源受限、平衡流量检测精度与时间开销等问题,提出一种FastSplit-RF(random forest with fast split)的轻量化分类算法。针对物联网流量设计一个通用的特征提取流程,在随机森林算法基础上,使用多臂赌博机策略代替节点分裂的遍历过程,实现对节点的快速分割,完成高效、轻量化的物联网流量分类。实验验证,FastSplit-RF相较随机森林算法,在准确率提升了2.45%的同时,检测速度增快了62.16%,内存占用减小了48.68%。

基于图神经网络的SSL/TLS加密恶意流量检测算法研究

为实现SSL/TLS加密恶意流量的精准检测,针对传统机器学习方法过分依赖专家经验的问题,提出一种基于图神经网络的恶意加密流量检测模型。通过对SSL/TLS加密会话进行分析,利用图结构对流量会话交互信息进行表征,将恶意加密流量检测问题转化为图分类问题。生成的模型基于分层图池化架构,通过多层卷积池化的聚合,结合注意力机制,充分挖掘图中节点特征和图结构信息,实现了端到端的恶意加密流量检测方法。基于公开数据集CICAndMal2017进行验证,实验结果表明,所提模型在加密恶意流量二分类检测中,准确率高达97.1%,相较于其他模型,准确率、召回率、精确率、F1分数分别提升了2.1%,3.2%,1.6%,2.1%,说明所提方法对于恶意加密流量的表征能力和检测能力优于其他方法。

新增未知攻击场景下的工业互联网恶意流量识别方法

针对工业互联网中新增未知攻击所引发的流量数据分布偏移问题,提出了一种基于邻域过滤和稳定学习的恶意流量识别方法,旨在增强现有图神经网络模型在识别已知类恶意流量时的有效性和鲁棒性。该方法首先对流量数据进行图结构建模,捕获通信行为中的拓扑关系与交互模式;然后,基于有偏采样的邻域过滤机制划分流量子图,消除通信行为间的伪同质性;最后,应用图表示学习和稳定学习策略,结合自适应样本加权与协同损失优化方法,实现高维流量特征的统计独立性。2个基准数据集上的实验结果表明,相较对比方法,所提方法在新增未知攻击场景下的识别性能提升超过2.7%,展示了其在工业互联网环境下的高效性和实用性。

基于GRU神经网络的加密恶意流量检测方法

加密恶意流量对用户信息安全造成了负面影响,针对该问题,提出基于GRU神经网络的加密恶意流量检测方法。构建基于GRU神经网络的检测框架,将原始流量数据转换为一维序列的形式,并切分恶意流量和良性流量文件。在GRU神经网络隐层单元中引入一阶状态,定量控制更新门和重置门加密恶意流量。动态更新权重矩阵,控制更新门和重置门的激活程度,从而实现对加密恶意流量的实时检测。实验表明,针对已知、未知移动恶意软件流量,该方法的检测准确率最低分别为0.93和0.87,获取的密文与实际加密恶意流量的密文一致,达到了精准检测的效果。

融合随机森林与SHAP的恶意加密流量预测模型

加密流量保护用户隐私信息的同时也会隐藏恶意行为,尽早发现恶意加密流量是抵御不同网络攻击(如分布拒绝式攻击、窃听、注入攻击等)和保护网络免受入侵的关键手段.传统基于端口、深度包检测等恶意流量检测方法难以对抗代码混淆、重新包装等复杂攻击,而基于机器学习的方法也存在误报率高和决策过程难以理解的问题.为此,提出一种恶意加密流量检测高可解释性模型EPMRS,以弥补现有研究在性能与可解释性上存在的局限性.在数据去重,重编码及特征筛选等数据预处理的基础上,基于随机森林构建恶意加密流量检测模型,并与逻辑回归、KNN、LGBM等10种主流机器学习模型进行5折交叉验证的实验对比;基于SHAP框架从整体模型、核心风险特征交互效应及样本决策过程三个不同的层面,全面增强恶意加密流量检测模型的可解释性.EPMRS在MCCCU数据集的实证结果表明,EPMRS对未知加密恶意流量的检测准确率达到99.996%、误识别率为0.0003%,与已有工作相比,性能指标平均提升了0.287175%~7.513175%;同时,通过可解释性分析识别出了session(会话)、flow_duration(流持续时间)、Goodput(有效吞吐量)等为影响恶意加密流量检测的核心风险因素.

基于SDN架构的DDoS异常攻击检测技术研究

介绍了DDoS攻击的定义及原理,梳理了检测SDN环境中DDoS攻击的BPNN算法、K-Means聚类算法、强化学习、深度学习等不同机器学习算法的特点,并通过这些特点进行对比与分析,对后续DDoS攻击开展更精确的检测分析及后续防御工作提供技术支持。