基于机器学习的网络未知攻击检测方法研究综述

1

作者 陈良臣 傅德印 +3 位作者 刘宝旭 卢志刚 姜政伟 高曙 《信息安全研究》 北大核心 2025年第9期807-813,共7页

在网络安全威胁持续演变的复杂背景下,未知的网络攻击对数字基础设施的威胁与日俱增,基于机器学习的网络未知攻击检测技术成为研究重点.首先对入侵检测系统分类和网络未知攻击检测常用技术进行论述;其次从异常检测、开集识别和零样本学... 在网络安全威胁持续演变的复杂背景下,未知的网络攻击对数字基础设施的威胁与日俱增,基于机器学习的网络未知攻击检测技术成为研究重点.首先对入侵检测系统分类和网络未知攻击检测常用技术进行论述;其次从异常检测、开集识别和零样本学习3个维度对基于机器学习的网络未知攻击检测方法进行深入探讨,并进一步对常用数据集和关键评估指标进行总结;最后对未知攻击检测的发展趋势和挑战进行展望.可为进一步探索网络空间安全领域的新方法与新技术提供借鉴与参考. 展开更多

关键词 未知攻击检测 机器学习 异常检测 开集识别 零样本学习

在线阅读 下载PDF 职称材料

面向工控系统未知攻击的域迁移入侵检测方法 被引量：2

2

作者 王昊冉 于丹 +2 位作者 杨玉丽 马垚 陈永乐 《计算机应用》 CSCD 北大核心 2024年第4期1158-1165,共8页

针对工业控制系统(ICS)数据匮乏、工控入侵检测系统对未知攻击检测效果差的问题,提出一种基于生成对抗迁移学习网络的工控系统未知攻击入侵检测方法(GATL)。首先,引入因果推理和跨域特征映射关系对数据进行重构,提高数据的可理解性和可... 针对工业控制系统(ICS)数据匮乏、工控入侵检测系统对未知攻击检测效果差的问题,提出一种基于生成对抗迁移学习网络的工控系统未知攻击入侵检测方法(GATL)。首先,引入因果推理和跨域特征映射关系对数据进行重构,提高数据的可理解性和可靠性;其次,由于源域和目标域数据不平衡,采用基于域混淆的条件生成对抗网络(GAN)增加目标域数据集的规模和多样性;最后,通过域对抗迁移学习融合数据的差异性、共性,提高工控入侵检测模型对目标域未知攻击的检测和泛化能力。实验结果表明,在工控网络标准数据集上,GATL在保持已知攻击高检测率的情况下,对目标域的未知攻击检测的F1-score平均为81.59%,相较于动态对抗适应网络(DAAN)和信息增强的对抗域自适应(IADA)方法分别提升了63.21和64.04个百分点。 展开更多

关键词 迁移学习 工业控制系统 未知攻击 生成对抗网络 混合注意力

在线阅读 下载PDF 职称材料

DCVAE与DPC融合的网络入侵检测模型研究 被引量：7

3

作者 李登辉 葛丽娜 +2 位作者 王哲 樊景威 张壕 《小型微型计算机系统》 CSCD 北大核心 2024年第4期998-1006,共9页

入侵检测是主动防御网络中攻击行为的技术,以往入侵检测模型因正常网络流量与未知攻击内在特征区分度不足,导致对未知攻击识别率不够高,本文设计基于判别条件变分自编码器与密度峰值聚类算法的入侵检测模型(DCVAE-DPC).利用判别条件变... 入侵检测是主动防御网络中攻击行为的技术,以往入侵检测模型因正常网络流量与未知攻击内在特征区分度不足,导致对未知攻击识别率不够高,本文设计基于判别条件变分自编码器与密度峰值聚类算法的入侵检测模型(DCVAE-DPC).利用判别条件变分自编码器能够生成指定类别样本的能力,学习正常网络流量特征的隐空间表示并计算其重建误差,增加其与未知攻击间的特征区分度,并使用密度峰值聚类算法求出正常网络流量重建误差的分布,提高未知攻击识别率.实验结果表明,在NSL-KDD数据集中与当前流行的入侵检测模型相比,模型的分类准确率可以达到97.08%,具有更高的未知攻击检测能力,面对当前复杂网络环境,有更强的入侵检测性能. 展开更多

关键词 入侵检测 判别条件变分自编码器 密度峰值聚类算法 未知攻击识别 细粒度攻击分类

在线阅读 下载PDF 职称材料

基于威胁发现的APT攻击防御体系研究 被引量：2

4

作者 赵新强 范博 张东举 《信息网络安全》 CSCD 北大核心 2024年第7期1122-1128,共7页

APT攻击的未知性和不确定性使得传统防护体系难以快速检测防御,其持续进化能力也使得基于特征检测技术的传统防护手段无法满足日益增长的安全需求。文章基于红蓝对抗思想构建了APT攻防模型,并基于杀伤链分类总结出常见网络攻击的步骤和... APT攻击的未知性和不确定性使得传统防护体系难以快速检测防御,其持续进化能力也使得基于特征检测技术的传统防护手段无法满足日益增长的安全需求。文章基于红蓝对抗思想构建了APT攻防模型,并基于杀伤链分类总结出常见网络攻击的步骤和技术。文章结合APT攻防实践经验提出一种以APT威胁发现为核心的防御思想模型和“云、管、端、地”协同的综合安全技术框架。 展开更多

关键词 网络空间安全 APT 未知攻击 红蓝对抗 威胁发现

在线阅读 下载PDF 职称材料

针对应用层未知攻击的蜜罐系统框架的研究与实现 被引量：4

5

作者 曹登元 周莲英 刘芳 《计算机工程与设计》 CSCD 北大核心 2006年第5期765-767,共3页

随着网络攻击事件越来越多,特别是新的漏洞以及其攻击的不断发布,网络安全受到严重的威胁。传统的安全技术如防火墙、入侵检测等都不能很好地对新的漏洞和攻击进行检测,所以未知攻击的检测问题已成为难点。利用蜜罐技术来解决未知攻击... 随着网络攻击事件越来越多,特别是新的漏洞以及其攻击的不断发布,网络安全受到严重的威胁。传统的安全技术如防火墙、入侵检测等都不能很好地对新的漏洞和攻击进行检测,所以未知攻击的检测问题已成为难点。利用蜜罐技术来解决未知攻击的检测问题,简要概述了现有的蜜罐技术,提出并实现了一种针对应用层未知攻击的蜜罐系统框架。最后进行了测试并给出了结论。 展开更多

关键词 信息安全 入侵检测系统 蜜罐 系统调用 未知攻击

在线阅读 下载PDF 职称材料

一种认证密钥协商协议的安全分析及改进 被引量：16

6

作者 周永彬 张振峰 冯登国 《软件学报》 EI CSCD 北大核心 2006年第4期868-875,共8页

针对用于移动通信的可证安全的双向认证密钥协商协议MAKAP给出了一种有效攻击,指出该协议存在安全缺陷,它不能抵抗未知密钥共享攻击.分析了这些安全缺陷产生的原因,并给出了一种改进的协议MAKAP-I.改进后的MAKAP-I协议不但是可证安全的... 针对用于移动通信的可证安全的双向认证密钥协商协议MAKAP给出了一种有效攻击,指出该协议存在安全缺陷,它不能抵抗未知密钥共享攻击.分析了这些安全缺陷产生的原因,并给出了一种改进的协议MAKAP-I.改进后的MAKAP-I协议不但是可证安全的,而且无论从计算开销、通信开销、存储开销以及实现成本等方面,都比原MAKAP协议更高效、更实用. 展开更多

关键词 认证密钥协商协议 未知密钥共享攻击 可证明安全性 移动通信

在线阅读 下载PDF 职称材料

对未知攻击进行检测的蜜罐系统的实现 被引量：1

7

作者 胡蓓 李俊 +1 位作者 郁纬 陈昌芳 《计算机应用》 CSCD 北大核心 2006年第10期2336-2337,共2页

针对当前防火墙和入侵检测系统不能够对未知攻击作出有效的判断,而造成信息误报和漏报的问题,提出了一种蜜罐系统结构,通过过滤掉已知攻击,在系统调用层,采用攻击签名机制,实现对未知攻击的检测和分析。

关键词 蜜罐 入侵检测 未知攻击 代理 攻击签名

在线阅读 下载PDF 职称材料

动态网络主动安全防御的若干思考 被引量：4

8

作者 吴春明 《中兴通讯技术》 2016年第1期34-37,共4页

提出以动态化、随机化、主动化为特点的动态网络主动安全防御是解决信息系统中未知漏洞与后门攻击的一种新途径。在动态网络的主动变迁技术中,提出了演进防御机制(EDM),该机制可以根据网络系统安全状态、网络系统安全需求等,选择最佳的... 提出以动态化、随机化、主动化为特点的动态网络主动安全防御是解决信息系统中未知漏洞与后门攻击的一种新途径。在动态网络的主动变迁技术中,提出了演进防御机制(EDM),该机制可以根据网络系统安全状态、网络系统安全需求等,选择最佳的网络配置变化元素组合来应对潜在的攻击、保证特定等级的安全要求。网络的动态重构和变迁需要根据系统的安全态势和可能遭受的网络攻击来考虑,其关键是如何有效对系统的安全态势和网络的攻击进行主动探测与感知。尚处于起步阶段的动态网络主动安全防御的创新技术研究任重而道远。 展开更多

关键词 被动防御 未知攻击 主动防御

在线阅读 下载PDF 职称材料

基于链路性能分析的网络安全态势评估 被引量：2

9

作者 黄正兴 苏旸 《计算机应用》 CSCD 北大核心 2013年第11期3224-3227,共4页

针对网络安全态势评估的融合特性和现有层次化态势评估方法存在对未知攻击感知不足的问题,提出融合链路安全态势值来计算网络安全态势值的方法。借助网络性能分析的相关理论,提出了基于链路性能分析的网络安全态势评估模型。在态势值计... 针对网络安全态势评估的融合特性和现有层次化态势评估方法存在对未知攻击感知不足的问题,提出融合链路安全态势值来计算网络安全态势值的方法。借助网络性能分析的相关理论,提出了基于链路性能分析的网络安全态势评估模型。在态势值计算过程中,首先计算不同时段各链路的安全态势值,并把结果以矩阵形式表现出来;然后,将各链路安全态势值进行加权融合,得到不同时段的网络安全态势值,并以向量形式表示。实验结果证明,所提方法能够反映网络局部和整体的安全状况变化,并且对未知攻击具有良好的感知能力,给网络安全管理带来了方便。 展开更多

关键词 融合 性能分析 链路安全态势 网络安全态势 未知攻击

在线阅读 下载PDF 职称材料

基于未知地标被动观测的飞航导弹SINS俯仰姿态误差估计方法

10

作者 寇昆湖 张友安 柳爱利 《宇航学报》 EI CAS CSCD 北大核心 2013年第6期801-807,共7页

针对飞航导弹单独使用时SINS存在姿态估计精度随时间降低的问题,提出了基于未知地标被动观测的SINS俯仰姿态误差估计方法。首先,根据飞航导弹中制导段飞行的特点,把SINS俯仰姿态误差估计问题转化为攻角估计问题。然后,在不改变导弹巡航... 针对飞航导弹单独使用时SINS存在姿态估计精度随时间降低的问题,提出了基于未知地标被动观测的SINS俯仰姿态误差估计方法。首先,根据飞航导弹中制导段飞行的特点,把SINS俯仰姿态误差估计问题转化为攻角估计问题。然后,在不改变导弹巡航路径的前提下,利用弹上成像导引头对视场内任意未知地标连续被动观测,分别提出了弹体坐标系和速度坐标系下的攻角估计方法,并分析了观测噪声对量测方程系数的影响。最后,利用平均去噪的思想对估计结果进行处理,提高了SINS俯仰姿态误差的估计精度。仿真结果表明:两种方法都能有效估计出飞航导弹SINS俯仰姿态量测误差。 展开更多

关键词 飞航导弹 视觉辅助导航 攻角估计 被动观测 未知地标 总体最小二乘 平均去噪

在线阅读 下载PDF 职称材料

基于半监督学习和信息增益率的入侵检测方案 被引量：26

11

作者 许勐璠 李兴华 +2 位作者 刘海 钟成 马建峰 《计算机研究与发展》 EI CSCD 北大核心 2017年第10期2255-2267,共13页

针对现有未知攻击检测方法仅定性选取特征而导致检测精度较低的问题,提出一种基于半监督学习和信息增益率的入侵检测方案.利用目标网络在遭受攻击时反应在底层重要网络流量特征各异的特点,在模型训练阶段,为了克服训练数据集规模有限的... 针对现有未知攻击检测方法仅定性选取特征而导致检测精度较低的问题,提出一种基于半监督学习和信息增益率的入侵检测方案.利用目标网络在遭受攻击时反应在底层重要网络流量特征各异的特点,在模型训练阶段,为了克服训练数据集规模有限的问题,采用半监督学习算法利用少量标记数据获得大规模的训练数据集;在模型检测阶段,引入信息增益率定量分析不同特征对检测性能的影响程度,最大程度地保留了特征信息,以提高模型对未知攻击的检测性能.实验结果表明:该方案能够利用少量标记数据定量分析目标网络中未知攻击的重要网络流量特征并进行检测,其针对不同目标网络中未知攻击检测的准确率均达到90%以上. 展开更多

关键词 入侵检测 未知攻击 特征选取 半监督学习 信息增益率

在线阅读 下载PDF 职称材料

基于半监督学习和三支决策的入侵检测模型 被引量：8

12

作者 张师鹏 李永忠 杜祥通 《计算机应用》 CSCD 北大核心 2021年第9期2602-2608,共7页

针对现有的入侵检测模型在未知攻击上表现不佳,且标注数据极其有限的情况,提出一种基于半监督学习(SSL)和三支决策(3WD)的入侵检测模型--SSL-3WD。SSL-3WD模型通过3WD在信息不足情况下的优秀表现来满足SSL在数据信息的充分冗余性上的假... 针对现有的入侵检测模型在未知攻击上表现不佳,且标注数据极其有限的情况,提出一种基于半监督学习(SSL)和三支决策(3WD)的入侵检测模型--SSL-3WD。SSL-3WD模型通过3WD在信息不足情况下的优秀表现来满足SSL在数据信息的充分冗余性上的假设。首先利用3WD理论对网络行为数据进行分类,而后根据分类结果选择适当的“伪标记”样本组成新的训练集以扩充原有数据集,最后重复分类过程,以得到所有对于网络行为数据的分类。在NSL-KDD数据集上,所提模型的检出率达到了97.7%,相较于对比方法中检出率最高的自适应的集成学习入侵检测模型Multi-Tree,提升了5.8个百分点;在UNSW-NB15数据集上,所提模型的准确率达到了94.7%,检出率达到了96.3%,相较于对比方法中表现最好的基于深度堆叠非对称自编码器(SNDAE)的入侵检测模型,分别提升了3.5个百分点和6.2个百分点。实验结果表明,所提SSL-3WD模型提升了对网络行为进行检测的准确率和检出率。 展开更多

关键词 入侵检测 半监督学习 三支决策 未知攻击 充分冗余

在线阅读 下载PDF 职称材料

未知网络攻击识别关键技术研究 被引量：5

13

作者 曹扬晨 朱国胜 +1 位作者 孙文和 吴善超 《计算机科学》 CSCD 北大核心 2022年第S01期581-587,共7页

入侵检测是一种主动防御网络中攻击行为的技术,在网络管理方面起着至关重要的作用,而传统的入侵检测技术无法识别未知攻击,也是长期困扰本领域的难题。针对未知类型的入侵攻击,提出了K-Means与FP-Growth算法相结合的未知攻击识别模型,... 入侵检测是一种主动防御网络中攻击行为的技术,在网络管理方面起着至关重要的作用,而传统的入侵检测技术无法识别未知攻击,也是长期困扰本领域的难题。针对未知类型的入侵攻击,提出了K-Means与FP-Growth算法相结合的未知攻击识别模型,以实现对未知攻击的规则进行提取。首先,对于多种未知攻击混合的数据,根据样本间的相似性用K-Means进行聚类分析,引入轮廓系数评估聚类的效果,聚类完成之后,同种未知攻击被分到相同的簇中,人工提取未知攻击的特征,对特征数据进行预处理,将连续型特征离散化,然后用FP-Growth算法挖掘未知攻击数据的频繁项集和关联规则,最后对其进行分析,得出该未知攻击的规则,用规则对该类型的未知攻击进行检测,结果表明,所提模型的准确率可达98.74%,优于其他相关模型。 展开更多

关键词 入侵检测 未知攻击 K-MEANS FP-GROWTH 关联规则

在线阅读 下载PDF 职称材料

基于数据挖掘的攻击场景提取方法研究 被引量：5

14

作者 彭梦停 胡建伟 崔艳鹏 《计算机应用与软件》 北大核心 2018年第10期317-322,共6页

针对目前入侵检测系统(IDS)产生的低级警报难以管理等缺陷,提出一个提取多步骤攻击场景的方法。基于数据挖掘来发现已知和未知场景中的强关联规则,生成关联概率表,作为自动提取攻击场景的重要依据。该方法能有效地压缩警报数量,聚类同... 针对目前入侵检测系统(IDS)产生的低级警报难以管理等缺陷,提出一个提取多步骤攻击场景的方法。基于数据挖掘来发现已知和未知场景中的强关联规则,生成关联概率表,作为自动提取攻击场景的重要依据。该方法能有效地压缩警报数量,聚类同一阶段的警报,对于复杂的批量攻击和跳板攻击场景也有很好的效果。实验结果表明,在无需使用任何预定义知识的情况下,对于压缩警报,检测已知、未知的多步攻击场景,该方法足够高效且准确。 展开更多

关键词 网络安全 警报关联 攻击场景 未知攻击 因果知识 数据挖掘 压缩警报

在线阅读 下载PDF 职称材料

一种改进的基于移动通信的论证密钥协商协议——MAKAP^+

15

作者 丁辉 殷新春 《计算机应用与软件》 CSCD 2010年第6期17-19,共3页

针对移动通信中的可证安全的双向密钥认证协议MAKAP协议的缺陷——不能抵御未知密钥共享攻击,给出了一个改进后的MAKAP+协议,在随机预言机模型中证明了本协议的安全性。改进后的协议不使用任何加密解密算法,具有更高的可靠性。通过性能... 针对移动通信中的可证安全的双向密钥认证协议MAKAP协议的缺陷——不能抵御未知密钥共享攻击,给出了一个改进后的MAKAP+协议,在随机预言机模型中证明了本协议的安全性。改进后的协议不使用任何加密解密算法,具有更高的可靠性。通过性能分析,证明了此协议的实用性。 展开更多

关键词 认证密钥协商协议 未知密钥共享攻击 随机预言机模型

在线阅读 下载PDF 职称材料

基于多维异构特征与反馈感知调度的SDN内生安全控制平面 被引量：3

16

作者 王涛 陈鸿昶 《电子学报》 EI CAS CSCD 北大核心 2021年第6期1117-1124,共8页

为弥补现有研究在软件定义网络(Software-Defined Networking,SDN)控制平面未知漏洞防御方面的空白,本文提出了一种基于多维异构特征与反馈感知调度的内生安全控制平面的设计方案.该方案以“冗余、异构和动态”为切入点,通过组合执行体... 为弥补现有研究在软件定义网络(Software-Defined Networking,SDN)控制平面未知漏洞防御方面的空白,本文提出了一种基于多维异构特征与反馈感知调度的内生安全控制平面的设计方案.该方案以“冗余、异构和动态”为切入点,通过组合执行体冗余集构建策略、多维异构元素着色策略和动态反馈感知调度策略,有效增加SDN控制平面对攻击者所呈现的执行体时空不确定性(逆转攻防不对称性).相关仿真结果表明该方案可以收敛全局执行体数目、增加执行体之间的多维异构度并降低系统全局失效率. 展开更多

关键词 SDN控制平面内生安全 未知漏洞 劫持攻击 冗余集构建 多维异构特征 反馈感知调度

在线阅读 下载PDF 职称材料

一种含外部攻击和未知输入的事件驱动控制策略设计 被引量：1

17

作者 谭瑞梅 《工程数学学报》 CSCD 北大核心 2019年第4期376-388,共13页

文章主要考虑了无线传输中基于含外部攻击和未知输入随机系统含有外部攻击和未知输入情况下的随机系统的事件驱动控制策略以及相应的事件驱动传输机制,旨在决定何时发送数据的传感器数据传输方案.通过随机均方有界性稳定性理论推导了事... 文章主要考虑了无线传输中基于含外部攻击和未知输入随机系统含有外部攻击和未知输入情况下的随机系统的事件驱动控制策略以及相应的事件驱动传输机制,旨在决定何时发送数据的传感器数据传输方案.通过随机均方有界性稳定性理论推导了事件触发下驱动的控制器增益,此外利用近似二次性能指标的最小化设计了相应的事件驱动传输策略,以使保证控制效果、通信速率和节点的电池寿命得到一个很好的平衡.在仿真中给出了一个数值实例来验证理论结果的潜在性和有效性.仿真结果表明:文章设计的估计器和事件驱动传输策略能很好地平衡估计精度和传输次数,对传感器的节能具有重要意义. 展开更多

关键词 事件驱动的控制 外部攻击 未知输入 随机系统

在线阅读 下载PDF 职称材料