基于用户窗口行为的内部威胁检测研究

用户在计算机上的行为直接体现在与应用窗口的交互过程中.针对内网安全问题,从应用窗口的使用角度出发,对用户行为进行研究.搭建完全自由的内网环境,采集与分析用户在应用窗口上的行为数据,提取面向异常用户检测与用户变化行为识别的行为特征.通过样本均值分布特性和K-S检验验证了不同用户使用应用窗口的行为存在显著差异,并结合欧氏距离与置信区间,构建异常行为检测算法.实验结果表明,该算法能够有效检测异常用户与识别用户变化行为,准确率分别高达97.4%和94.5%,对于内部威胁防御具有重要作用.

融合击键内容和击键行为的持续身份认证

为提高真实击键场景中用户的持续身份认证能力,搭建完全自由的实验环境采集击键数据。将连续击键事件中各后置击键的频次作为击键内容特征,将排序后的连续击键时间间隔序列作为击键行为特征,引入改进的Yager证据合成理论融合击键内容域和击键行为域的子分类器得到最终的持续身份认证模型。实验结果表明,与现有的击键认证模型相比,采用融合技术的认证方法提高了用户持续身份认证的准确率,在真实的内网中有应用价值。

融合用户兴趣和评分差异的协同过滤推荐算法

针对传统的协同过滤算法中单一评分相似性计算不准确的问题,提出融合用户兴趣和评分差异的协同过滤推荐算法。将TF-IDF思想运用到用户对标签的权重计算中,并使用指数衰减函数和时间窗口捕捉用户兴趣的变化;根据历史评分矩阵,充分考虑用户评分值差异、评判准则差异、影响力差异和项目影响差异等影响因子,定义了一种评分差异相似性度量算法;最后将用户兴趣相似性和评分差异相似性进行加权融合,获取更加准确的用户邻居,从而预测项目评分并进行推荐。在数据集Movielens的实验表明,提出的算法能有效提高推荐精度。

针对恶意JavaScript识别的降维方法

针对将JavaScript代码N-gram处理后识别算法特征维度较高的问题,提出一种高效的降维方法。该方法利用TF-IDF-like模型分别计算特征在正常样本和恶意样本中的权重,基于特征权重在两类样本中的差异度进行降维。基于多个识别算法,将提出的降维方法与基于主成分分析(Principal Component Analysis,PCA)的降维方法进行比较,实验结果表明:当识别算法维度相同时,基于本文所给降维方法的识别算法在识别效果方面优于基于PCA的识别算法;当降维后识别算法的维度超过某个阈值时,随着识别算法维度的增长,本降维方法的时间开销增长速率远低于PCA方法。

网页内容链接层次语义树的恶意网页检测方法

针对攻击者利用URL缩短服务导致仅依赖于URL特征的恶意网页检测失效的问题,及恶意网页检测中恶意与良性网页高度不均衡的问题,提出一种融合网页内容层次语义树特征的成本敏感学习的恶意网页检测方法。该方法通过构建网页内容链接层次语义树,提取基于语义树的特征,解决了URL缩短服务导致特征失效的问题;并通过构建成本敏感学习的检测模型,解决了数据类别不均衡的问题。实验结果表明,与现有的方法相比,提出的方法不仅能应对缩短服务的问题,还能在类别不均衡的恶意网页检测任务中表现出较低的漏报率2.1%和误报率3.3%。此外,在25万条无标签数据集上,该方法比反病毒工具VirusTotal的查全率提升了38.2%。