Suboptimal Feature Selection Techniques for Effective Malicious Traffic Detection on Lightweight Devices

With the advancement of wireless network technology,vast amounts of traffic have been generated,and malicious traffic attacks that threaten the network environment are becoming increasingly sophisticated.While signature-based detection methods,static analysis,and dynamic analysis techniques have been previously explored for malicious traffic detection,they have limitations in identifying diversified malware traffic patterns.Recent research has been focused on the application of machine learning to detect these patterns.However,applying machine learning to lightweight devices like IoT devices is challenging because of the high computational demands and complexity involved in the learning process.In this study,we examined methods for effectively utilizing machine learning-based malicious traffic detection approaches for lightweight devices.We introduced the suboptimal feature selection model(SFSM),a feature selection technique designed to reduce complexity while maintaining the effectiveness of malicious traffic detection.Detection performance was evaluated on various malicious traffic,benign,exploits,and generic,using the UNSW-NB15 dataset and SFSM sub-optimized hyperparameters for feature selection and narrowed the search scope to encompass all features.SFSM improved learning performance while minimizing complexity by considering feature selection and exhaustive search as two steps,a problem not considered in conventional models.Our experimental results showed that the detection accuracy was improved by approximately 20%compared to the random model,and the reduction in accuracy compared to the greedy model,which performs an exhaustive search on all features,was kept within 6%.Additionally,latency and complexity were reduced by approximately 96%and 99.78%,respectively,compared to the greedy model.This study demonstrates that malicious traffic can be effectively detected even in lightweight device environments.SFSM verified the possibility of detecting various attack traffic on lightweight devices.

BSTFNet:An Encrypted Malicious Traffic Classification Method Integrating Global Semantic and Spatiotemporal Features

While encryption technology safeguards the security of network communications,malicious traffic also uses encryption protocols to obscure its malicious behavior.To address the issues of traditional machine learning methods relying on expert experience and the insufficient representation capabilities of existing deep learning methods for encrypted malicious traffic,we propose an encrypted malicious traffic classification method that integrates global semantic features with local spatiotemporal features,called BERT-based Spatio-Temporal Features Network(BSTFNet).At the packet-level granularity,the model captures the global semantic features of packets through the attention mechanism of the Bidirectional Encoder Representations from Transformers(BERT)model.At the byte-level granularity,we initially employ the Bidirectional Gated Recurrent Unit(BiGRU)model to extract temporal features from bytes,followed by the utilization of the Text Convolutional Neural Network(TextCNN)model with multi-sized convolution kernels to extract local multi-receptive field spatial features.The fusion of features from both granularities serves as the ultimate multidimensional representation of malicious traffic.Our approach achieves accuracy and F1-score of 99.39%and 99.40%,respectively,on the publicly available USTC-TFC2016 dataset,and effectively reduces sample confusion within the Neris and Virut categories.The experimental results demonstrate that our method has outstanding representation and classification capabilities for encrypted malicious traffic.

Detecting While Accessing:A Semi-Supervised Learning-Based Approach for Malicious Traffic Detection in Internet of Things

In the upcoming large-scale Internet of Things(Io T),it is increasingly challenging to defend against malicious traffic,due to the heterogeneity of Io T devices and the diversity of Io T communication protocols.In this paper,we propose a semi-supervised learning-based approach to detect malicious traffic at the access side.It overcomes the resource-bottleneck problem of traditional malicious traffic defenders which are deployed at the victim side,and also is free of labeled traffic data in model training.Specifically,we design a coarse-grained behavior model of Io T devices by self-supervised learning with unlabeled traffic data.Then,we fine-tune this model to improve its accuracy in malicious traffic detection by adopting a transfer learning method using a small amount of labeled data.Experimental results show that our method can achieve the accuracy of 99.52%and the F1-score of 99.52%with only 1%of the labeled training data based on the CICDDoS2019 dataset.Moreover,our method outperforms the stateof-the-art supervised learning-based methods in terms of accuracy,precision,recall and F1-score with 1%of the training data.

Malicious Traffic Detection in IoT and Local Networks Using Stacked Ensemble Classifier

Malicious traffic detection over the internet is one of the challenging areas for researchers to protect network infrastructures from any malicious activity.Several shortcomings of a network system can be leveraged by an attacker to get unauthorized access through malicious traffic.Safeguard from such attacks requires an efficient automatic system that can detect malicious traffic timely and avoid system damage.Currently,many automated systems can detect malicious activity,however,the efficacy and accuracy need further improvement to detect malicious traffic from multi-domain systems.The present study focuses on the detection of malicious traffic with high accuracy using machine learning techniques.The proposed approach used two datasets UNSW-NB15 and IoTID20 which contain the data for IoT-based traffic and local network traffic,respectively.Both datasets were combined to increase the capability of the proposed approach in detecting malicious traffic from local and IoT networks,with high accuracy.Horizontally merging both datasets requires an equal number of features which was achieved by reducing feature count to 30 for each dataset by leveraging principal component analysis(PCA).The proposed model incorporates stacked ensemble model extra boosting forest(EBF)which is a combination of tree-based models such as extra tree classifier,gradient boosting classifier,and random forest using a stacked ensemble approach.Empirical results show that EBF performed significantly better and achieved the highest accuracy score of 0.985 and 0.984 on the multi-domain dataset for two and four classes,respectively.

一种基于多模型融合的隐蔽隧道和加密恶意流量检测方法

高级持续威胁APT攻击为了躲避检测,攻击者往往采用加密恶意流量和隐蔽隧道等策略隐匿恶意行为,从而增加检测的难度。目前大多数检测DNS隐蔽隧道的方法基于统计、频率、数据包等特征,这种方法不能很好地进行实时检测,从而导致数据泄露,因此,需要根据单个DNS请求进行检测而不是对流量进行统计后再检测,才能够实现实时且可靠的检测,当系统判定单个DNS请求为隧道流量,便可做出响应,进而避免数据泄露。而现有的加密恶意检测方法存在无法完整提取流量特征信息、提取特征手段单一、特征利用少等问题。因此,文章提出了基于多模型融合的隐蔽隧道加密恶意流量检测方法。对于DNS隐蔽隧道,文章提出了MLP、1D-CNN、RNN模型融合的检测方法并根据提出的数学模型计算融合结果,该方法能够对隐蔽隧道实时监测,进一步提高检测的整体准确率。对于加密恶意流量,文章提出了1D-CNN、LSTM模型的并行融合的检测方法,并行融合模型能够更加全面地提取特征信息,反应流量数据的全貌,进而提高模型的检测精度。

基于黑客画像的网络攻击者识别方法

为能够准确、快速识别网络攻击者,提出一种基于黑客画像的网络攻击者识别方法。构建将稀疏自编码器和贝叶斯神经网络相结合的SAE-BNN模型,检测不同攻击类型的恶意流量;针对不同的恶意流量,通过提取黑客属性特征、流量特征、时间特征和相似性特征,与事先建立的黑客画像库中的黑客画像进行匹配。如果与某个黑客画像完全匹配,则由此确定该黑客的身份。当不能与黑客画像库中的任何黑客画像进行匹配时,将该黑客的特征作为标签,构建新的黑客画像,并更新画像库。实验结果表明,提出的异常流量识别方法在精度、召回率、F1值和准确率上均有提升。基于黑客画像的黑客识别算法与常规方法相比,极大提高了识别效率。

一种基于ViT改进的轻量化恶意流量识别方法

随着物联网技术的广泛应用,针对物联网设备计算和存储能力受限的特性,设计一种高精度、轻量化的恶意流量识别方法,对于保障物联网设备的安全具有重要意义.本文提出一种基于会话中数据包的灰度图片转换方法(Packets in a Session to Grayscale Image,PS2GI)用来生成以原始流量数据构建的灰度图片,同时提出一种基于简化混合VisionTransformer(Simplified Hybrid Vision Transformer,SHViT)深度学习模型中的注意力机制的方式用来实现高精度、轻量化的恶意流量识别方法.实验结果表明,使用SHViT模型在IoT-23数据集上对比ViT模型在多分类情况的准确率降低0.17%,达到99.70%,模型的推理时间增加33.8%,达到6.37ms,但是模型的参数量降低68.1%,达到3.06M,同时模型的计算量降低41.7%.

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。

基于后门攻击的恶意流量逃逸方法

针对基于深度学习模型的流量分类器,提出了一种利用后门攻击实现恶意流量逃逸的方法。通过在训练过程添加毒化数据将后门植入模型,后门模型将带有后门触发器的恶意流量判定为良性,从而实现恶意流量逃逸;同时对不含触发器的干净流量正常判定,保证了模型后门的隐蔽性。采用多种触发器分别生成不同后门模型,比较了多种恶意流量对不同后门模型的逃逸效果,同时分析了不同后门对模型性能的影响。实验验证了所提方法的有效性,为恶意流量逃逸提供了新的思路。

加密恶意流量检测及对抗综述

网络流量加密在保护企业数据和用户隐私的同时,也为恶意流量检测带来新的挑战.根据处理加密流量的方式不同,加密恶意流量检测可分为主动检测和被动检测.主动检测包括对流量解密后的检测和基于可搜索加密技术的检测,其研究重点是隐私安全的保障和检测效率的提升,主要分析可信执行环境和可控传输协议等保障措施的应用.被动检测是在用户无感知且不执行任何加密或解密操作的前提下,识别加密恶意流量的检测方法,其研究重点是特征的选择与构建,主要从侧信道特征、明文特征和原始流量等3类特征分析相关检测方法,给出有关模型的实验评估结论.最后,从混淆流量特征、干扰学习算法和隐藏相关信息等角度,分析加密恶意流量检测对抗研究的可实施性.

新增未知攻击场景下的工业互联网恶意流量识别方法

针对工业互联网中新增未知攻击所引发的流量数据分布偏移问题,提出了一种基于邻域过滤和稳定学习的恶意流量识别方法,旨在增强现有图神经网络模型在识别已知类恶意流量时的有效性和鲁棒性。该方法首先对流量数据进行图结构建模,捕获通信行为中的拓扑关系与交互模式;然后,基于有偏采样的邻域过滤机制划分流量子图,消除通信行为间的伪同质性;最后,应用图表示学习和稳定学习策略,结合自适应样本加权与协同损失优化方法,实现高维流量特征的统计独立性。2个基准数据集上的实验结果表明,相较对比方法,所提方法在新增未知攻击场景下的识别性能提升超过2.7%,展示了其在工业互联网环境下的高效性和实用性。

融合随机森林与SHAP的恶意加密流量预测模型

加密流量保护用户隐私信息的同时也会隐藏恶意行为,尽早发现恶意加密流量是抵御不同网络攻击(如分布拒绝式攻击、窃听、注入攻击等)和保护网络免受入侵的关键手段.传统基于端口、深度包检测等恶意流量检测方法难以对抗代码混淆、重新包装等复杂攻击,而基于机器学习的方法也存在误报率高和决策过程难以理解的问题.为此,提出一种恶意加密流量检测高可解释性模型EPMRS,以弥补现有研究在性能与可解释性上存在的局限性.在数据去重,重编码及特征筛选等数据预处理的基础上,基于随机森林构建恶意加密流量检测模型,并与逻辑回归、KNN、LGBM等10种主流机器学习模型进行5折交叉验证的实验对比;基于SHAP框架从整体模型、核心风险特征交互效应及样本决策过程三个不同的层面,全面增强恶意加密流量检测模型的可解释性.EPMRS在MCCCU数据集的实证结果表明,EPMRS对未知加密恶意流量的检测准确率达到99.996%、误识别率为0.0003%,与已有工作相比,性能指标平均提升了0.287175%~7.513175%;同时,通过可解释性分析识别出了session(会话)、flow_duration(流持续时间)、Goodput(有效吞吐量)等为影响恶意加密流量检测的核心风险因素.

基于CNN+GRU的网络恶意流量检测算法

针对网络恶意流量检测精确度和效率低等问题,提出了一种基于CNN+GRU算法的网络异常流量检测模型(CN-RU)。模型使用卷积神经网络和门控循环单元来分别自动化提取流量的空间和时间特征,全方位的收集网络流量特征。模型使用多个小卷积核和少参数的门控循环单元来准确提取流量特征的同时减小模型参数,达到提高检测精度与效率的目的。实验使用ISCX IDS2012、CIC-IDS2017、UNSW-NB15三种数据集进行效果评估,对比不同算法的网络流量检测模型,实验结果表明所提出的CNN+GRU结构模型解决了神经网络模型梯度消失问题的同时大幅度提高准确率和检测效率。模型具有较高的应用价值,在网络安全管理应用上有更好的普适性。

基于图表示的恶意TLS流量检测方法

出于隐私保护的需要,加密服务日益普及,然而这也为恶意流量提供了隐藏自身的渠道.因此,加密恶意流量识别成为网络管理的重要任务.目前,一些基于机器学习和深度学习的主流技术已经取得了良好的效果,然而,这些方法大多忽略了流量的结构特性,也未对加密协议进行深入分析.针对这一问题,提出了一种针对安全套接层/传输层安全(secure sockets layer/transport layer security, SSL/TLS)流量的图表示方法,总结TLS流量关键特征,并从流的源IP、目的端口、数据包数等多个属性角度考虑流量关联性.在此基础上,建立了一个基于图卷积神经网络(graph convolutional networks, GCN)的加密恶意流量识别框架GCN-RF.该方法将流量转化为图结构,综合利用流量的结构信息和节点特征进行识别与分类.在真实的公共数据集上的实验结果表明,该方法的分类准确率高于目前的主流模型.

恶意流量检测模型设计与实现

随着网络攻击手段的日益精进和多样化,传统安全防护面临准确识别恶意流量困难的挑战。文章针对恶意流量检测中常见的无效特征众多、数据不平衡以及攻击手段复杂化等问题,开发了一种较高效的检测方法。首先,文章提出一种数据清洗和均衡化方法,能够提升流量特征数据的质量和有效性;然后,文章结合简单循环神经网络(Recurrent Neural Network,RNN)与多头注意力机制,使检测模型能够更精确处理序列数据,有效捕捉和识别各类信息及其依赖关系,大幅提升特征提取的准确度;最后,文章利用集成学习、深度学习和机器学习的优势,使检测模型能够在有限的样本上高效学习,并快速适应不同的网络特征。实验结果表明,该方法在多个公共数据集上展现了较好的检测性能。

恶意点击类制造虚假流量行为的刑法治理

恶意点击类制造虚假流量行为系网络黑灰产业链中的一种,其复杂性和关联性使得相关犯罪行为得以通过网络空间肆意传播,不仅具有严重的社会危害性,也增加了相关行为的定性难度,已成为中国刑法理论亟需解决的问题。虽然恶意点击行为的出现对传统罪名的适用提出了一定挑战,但刑法在规制相应犯罪行为时也不应过度“积极”,而应当注意适用的限度。针对恶意点击类制造虚假流量行为,司法应总体把握恶意点击的行为样态,以上下游相结合的方式,对恶意点击行为进行整体评价,既要判断上游行为是否构成侵犯计算机信息系统类犯罪,也要重点审查下游行为是否符合《中华人民共和国刑法》第287条的规定,以实现对恶意点击行为的合理规制。

基于时空特征的恶意加密流量检测

加密技术保护了用户的隐私,但也使得恶意攻击可以隐藏一定的攻击特征,增加了检测难度。针对传统的检测方法存在的对于加密字段无法进行有效检测和过于依赖专家经验难以建立对应特征库等缺点,提出了一种不依赖专家经验、自动提取数据的时空特征的恶意加密流量检测方法 CNN-MHGRU。基于网络流量的数据结构,结合卷积神经网络(Convolutional Neural Networks,CNN)和门控循环单元(Gate Recurrent Unit,GRU)的时空特征提取能力,并加入多头注意力机制,使得GRU能够更好地处理长序列数据之间的联系。在公开数据集上进行二分类和多分类实验,CNN-MHGRU模型的准确率分别达到99.92%和92.98%,在对未知恶意加密流量二分类检测实验中准确率达到了99.89%,在整体上均优于实验对比模型。

基于SDN架构的DDoS异常攻击检测技术研究

介绍了DDoS攻击的定义及原理,梳理了检测SDN环境中DDoS攻击的BPNN算法、K-Means聚类算法、强化学习、深度学习等不同机器学习算法的特点,并通过这些特点进行对比与分析,对后续DDoS攻击开展更精确的检测分析及后续防御工作提供技术支持。

基于分布式流量数据的恶意软件检测方法

在网络安全领域,恶意软件已成为一种常见的威胁。为有效应对这种威胁,需采用有效的恶意软件检测技术。文中介绍了一种基于分布式流量数据的恶意软件检测方法。该方法利用分布式存储系统和流计算模型,通过对流量数据的分析和处理来快速检测恶意软件,为用户提供更加准确和及时的恶意软件检测服务,从而提高整个系统的安全性。

针对TLS恶意流量问题的检测和分类研究

随着加密流量的快速增长,通过传统机器学习方法来对恶意TLS流量的识别与分类效果不好。为提高对恶意流量的识别效率,本文提出一种改进卷积神经网络与长短期记忆网络结合的恶意流量检测方法。实验结果显示,该方法在识别恶意TLS流量上的二分类的F1值为93.4,在多分类实验上平均准确率为84.87,具有较好的检测和分类效果。