ML4SC 2019 会议(1)Network Data Collection, Fusion and Analytics for Cyber Security学习笔记

最新推荐文章于 2021-10-02 03:43:26 发布
最新推荐文章于 2021-10-02 03:43:26 发布
阅读量494 收藏
点赞数
分类专栏: 学习笔记 文章标签: 机器学习 网络安全 ML4SC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cheese0_0/article/details/101224921
版权

Network Data Collection, Fusion and Analytics for Cyber Security 学习笔记

Introduction
实现网络安全不仅依赖于防御技术,还依赖于检测和发现网络入侵、威胁和攻击的技术。其中,网络数据起着至关重要的作用。然而,用于安全检测的网络数据(即安全相关数据)通常具有大数据特征。如何高效、经济、准确地对其进行采集和处理,成为网络安全测量面临的一大挑战。
在本文中,介绍异构网络中的自适应网络数据采集、用于高效网络入侵检测和经济数据存储的数据融合和压缩方面的最新研究成果。一种应用层隧道检测方法,包括规则和机器学习,以及对网站上发布的意见进行数据挖掘和分析,以检索信任信息和产生声誉。致力于安全相关网络数据的收集、融合、挖掘和分析,我们努力以上下文感知的方式收集和处理尽可能少的数据,但要尽可能精确安全检测结果。
Measure security,:How? Network security related datapossible? → Detect network threats → measure security
通过研究安全事件数据(安全相关数据),可以对网络系统安全进行量化和测量。
异构网络与传统网络的:不同的数据类型 → 何时、如何collect大量数据 → 减少数据收集的规模
key issues : an economic and pervasive solution一个低成本、灵活、高效和通用的软件解决方案,用于在异构网络中收集与安全相关的数据
work:
1. 提出了 security-related data description language (SDDL)来描述安全相关数据
2. 设计自适应采样算法来收集数据以提高采集效率,同时保证安全
3. 设计和实现自适应网络数据采集系统(移动终端、网络主机、网络节点等)
4. 基于网络拓扑结构、网络性能和流量特性的SDN自适应数据采集

Adaptive Network Data Collection
网络安全通常反映在网络系统中可以收集的一些相关数据。通过学习和分析这些数据,称为安全相关的数据,我们可以检测到入侵的网络系统,并进一步测量其安全级别。
显然,检测网络入侵的第一步是收集与安全相关的数据。然而,在5G和大数据的背景下,由于网络的异构性和数据量的不断增长,这些数据的采集面临着诸多挑战。因此,传统的数据采集方法不能直接应用于下一代网络系统中,特别是与安全相关的数据。
设计并实现了一种基于网络上下文的异构网络安全相关数据采集器。该收集器通过设计一种安全相关数据描述语言(sddl)来指导不同网络环境下的安全相关数据收集,解决了网络系统异构性带来的问题。
SDDL根据对网络上下文的检测,指定应以何种方式、在何种位置收集何种类型的数据。
SDDL还标记了关于数据处理方法和数据可用于检测的目标攻击的标签。通过将SDDL与网络上下文检测相结合,所提出的收集器能够在大规模异构网络中灵活地收集具有上下文感知的任何网络节点的数据。此外,通过引入自适应采样算法,可以进一步提高数据收集效率,并且可以减少所收集的数据的体积,保证数据收集的准确性。基于原型实现的性能评估显示了自适应安全相关数据采集器在一些预定义的设计需求方面的有效性。
system model
任何网络???
SDDL具有以下优点:
* clarify security-related data
* achieve purposeful collection instead of collecting data without concrete targets
* overcome network heterogeneity(克服网络异质性)
* support security-related data collection at any nodes
* facilitate the subsequent storage,access,and process of the collected data
* the coupling degree of data collection and network system can be reduced

adaptive collection frequency adjustment strategies
如何减少收集的数据大小?
两种可适应样本算法基于预测来获取数据变化:预测变化率(ACFAS_PVR)、预测精度比(ACFAS_PAR)根据数据变化调整样本频率
Network data fusion for intrusion detection
随着网络规模的不断扩大,网络流量的增长给ddos洪泛攻击和放大攻击的检测带来了巨大的挑战。不完全的网络流量采集或大流量网络流量的非实时处理将严重影响攻击检测的准确性和效率。近年来,草图数据结构在高速网络中被广泛应用于网络流量的压缩和融合。但是,由于hash函数的不可逆性,草图存在可逆性问题,使得重构一组表现出异常行为的密钥变得困难。
为了解决上述问题,我们首先设计了一种基于中国剩余定理的可逆sketch(CRT-RS)。crt-rs不仅能够压缩和融合大容量的网络流量,而且能够反向发现异常密钥(如恶意或不想要的流量来源)。然后,基于CRT-RS生成的流量记录,提出了一种改进的多图累积和(MM-CUSUM)算法,该算法支持自适应和协议无关检测,用于检测DDoS洪水攻击和放大攻击。通过几个开源数据集对该检测方法的性能进行了实验验证。实验结果表明,该方法能有效、准确、适应性强、协议无关性强地检测ddos洪水攻击和放大攻击。此外,与其它基于sketch技术的攻击检测方法相比,该方法在恢复异常源地址时具有可量化的较低计算复杂度,这是该方法最重要的优点。
Background
DDoS flooding attacks: direct flooding attacks and indirect flooding attacks.
The existing problems of DDoS flooding attacks detection:
lack effective traffic compression and fusion methods. 缺少有效的流量压缩和融合的方法
lack protocol independent detection methods.缺乏协议无关的检测方法
针对DDoS洪泛攻击,提出了新的网络融合分析方法。提出基于中国剩余定理的可逆sketch(CRT-RS);用CRT-RS检测不同协议下的直接和间接的洪泛攻击
Network data analytics for malicious tunnel detection
应用层隧道通常用来构建秘密通道来传输秘密数据,近年来经常被应用于提高网络威胁。应用层隧道异常检测有助于识别各种网络威胁,具有很高的研究意义。然而,现有的基于特征签名的检测、基于协议异常的检测、基于行为统计的检测等方法存在误报率高、效率低、对加密隧道无效等缺点。识别率低,实时性差。 为了克服上述问题,我们对应用层隧道检测进行了探索,提出了一种基于规则和机器学习相结合的通用检测方法。
我们的检测方法由两部分组成:基于规则的域名过滤和基于机器学习的隧道检测通用特征提取框架。我们采用一个三元模型来设计基于规则的DGA域名过滤,它可以识别具有明显特征的隧道,以减少基于机器学习的检测中需要进一步处理的数据量。因此,我们的方法可以大大提高隧道检测的效率和实时性能。在机器学习方面,结合多种检测方法,支持网络层、传输层和应用层,对隧道检测进行多种统计和安全相关的特征提取,提出了一种通用的特征提取框架。因此,我们的方法可以保证高准确率和低假阳性率。通过对常用域名系统(dns)、超文本传输协议(http)和超文本传输协议安全(https)隧道的实验,验证了该方法的有效性。实验结果表明,本文提出的方法比现有的方法更通用、更有效。

Fusing and Mining Opinions for Reputation Generation
互联网提供了一个方便的平台,人们可以自由地分享他们对任何实体的意见。用自然语言表达的观点带有人类的主观态度和偏好。它们代表了实体的公共视角,从而以某种方式影响用户的决策和行为。因此,意见被认为是产生声誉的有用和有价值的信息,融合和挖掘意见为提取信任和声誉信息以及跟踪公众观点提供了一种很有前途的方法。然而,我们仍然面临一些问题。
首先,现有的声誉生成研究很少是基于观点融合和挖掘的。第二,以往研究忽视的一个重要问题是意见之间的关联程度。第三,目前还缺乏一种全面的信誉可视化方法来有效地辅助用户决策。第四,网上购物信誉管理系统的一个严重问题,产生了一个叫“全好信誉”的问题。如此强烈的正面偏见影响了买家做出明智的决定。
为了克服上述问题,我们提出了一种基于意见融合和挖掘的声誉生成方法。在我们的方法中,意见被过滤以消除不相关的意见,然后被组合成若干融合的主要意见集,其中包含具有相似或相同态度或偏好的意见。通过合并合并意见所附的评级,我们将实体的声誉标准化。同时,可以基于意见之间的关系产生各种类型的建议。为了给用户提供足够的信誉信息,我们还提出了一种新的信誉可视化方法。它显示了意见融合和挖掘结果的细节,如标准化的声誉值、带有人气的主要意见和其他统计数据。通过对几家流行的中英文商业网站的大量真实数据进行分析,实验结果证明了该方法的通用性和准确性,特别是对声誉生成的意见过滤的有效性。一个小规模的真实用户研究进一步量化了用户对所开发的信誉可视化方法的接受程度。在续篇中,这意味着所提出的方法可以应用于实践中产生声誉。

conclusion
效率和准确性是数据采集和处理的关键要求。以上下文感知的方式收集和处理尽可能少的数据,同时获得尽可能准确的安全检测结果。

cheese0_0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
3GPP标准协议中英文对照翻译-NWDAF服务-29520-g10(Network Data Analytics Services).docx
12-29
3GPP标准协议中英文对照翻译-NWDAF服务-29520-g10(Network Data Analytics Services).docx
ML4CS 2019 会议 (2)Federated learning and AI学习笔记
cheese0.0的博客
09-23 1334
Federated learning and AI学习笔记 put data together clibrery?? Federated learning is a machine learning framework that helps multiple organization effectively and collaboratively use data and build models...
nist cybersecurity framework
cnbird's blog
07-03 1048
http://www.nist.gov/cyberframework/cybersecurity-framework-industry-resources.cfm https://www2.opengroup.org/ogsys/catalog/G151 http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pa
NIST:制定Cybersecurity的框架进行时
weixin_33743880的博客
07-04 190
2013年7月1日,NIST针对其正在制定的网络空间安全框架提出了一个提纲征询意见。这个网络空间安全框架是今年2月份奥巴马签发的一个总统令的落地。目前这个项目还处于初期。比较有意思的是NIST将网络空间安全分为了五个方面的功能,分别是:辨识、防御、检测、响应、修复。•Know – Gaining the institutional understanding to identify what sy...
Security+ 学习笔记41 安全网络技术
tushanpeipei的博客
10-02 2523
一、限制网络访问(Restricting network access) 安全专业人员面临的主要任务之一是限制对网络的访问。在控制对网络的访问时,管理员通常有两个主要目标: 首先,他们想把不需要的远程用户完全挡在网络之外。这一目标被称为边界安全(Perimeter security),它使用防火墙技术,通过访问控制列表或ACL将不需要的流量挡在外面。用于实现这一目标的防火墙可能来自不同的供应商。一些比较常见的供应商包括思科、Palo Alto和Check Point。 第二,安全管理员希望将物理网络访问限
ASPICE_for_Cybersecurity_Yellow_Volume_1st_edition_2021.pdf
10-20
1. 第一部分是“Process Reference and Assessment Model for Cybersecurity Engineering”,即网络安全工程的过程参考和评估模型。这部分详细定义了与网络安全相关的各个过程,涵盖了从需求分析到系统设计、测试和...
Data mining and machine learning in cybersecurity
05-25
机器学习在信息安全领域的应用
UN Regulation No.155 - Cyber security and cyber security managem
07-08
2. **定义**:法规明确了“cyber security”(网络安全)和“cyber security management system”(CSMS,网络安全管理系统)的概念。网络安全是指保护车辆及其相关系统免受网络威胁的能力,而CSMS则是一套系统性的...
Data Mining and Machine Learning in Cybersecurity
10-27
mining solutions that address the overarching research problems, and it is designed for students and researchers studying or working on machine learning and data mining in cybersecurity applications.
awesome-ml-for-cybersecurity, 网络安全机器学习.zip
10-09
awesome-ml-for-cybersecurity, 网络安全机器学习 面向网络安全机器学习 使用机器学习网络安全相关的令人惊讶的工具和资源的规划性列表。目录数据集纸张书籍 。教程课程杂项插件 ↑如果你希望添加工具或者...
几个Network数据集的网站
qq_39731130的博客
05-07 2730
SNAP(Stanford Large Network Dataset Collection) http://snap.stanford.edu/data/index.html Network Repository http://networkrepository.com/index.php LINQS https://linqs.soe.ucsc.edu/data
ML、CV和AI等领域的一些顶级会议
热门推荐
竭尽全力的专栏
12-05 1万+
1、机器学习顶级会议:NIPS, ICML, UAI, AISTATS; (期刊:JMLR, ML, Trends in ML, IEEE T-NN) 2、计算机视觉和图像识别:ICCV, CVPR, ECCV; (期刊:IEEE T-PAMI, IJCV, IEEE T-IP) 3、人工智能:IJCAI, AAAI; (期刊AI) 另外相关的还有SIGRAPH, KDD, ACL, SI
MV-Sketch
zhaoxizxzx的博客
11-04 704
与cm-sketch 相同之处 都用哈希函数将数据映射到桶里:不将接受到的数据完整保存下来,减少数据存储的空间 不同之处 mv为可逆的sketch,即可返回重流的数据;而cm只能输入数据查询 MV-Sketch 可逆—>主选票算法(the majority vote algorithm) 一个桶中有三个成分:重流候选Ki,j(第i行第j个桶),一个计数器记录映射到该桶内的总数据量Vi,j,一个计数器记录重流候选的数据量Ci,j 当一个数据包x映射到桶中时,Vi,j增加新数据包的大小,如果x是当前的重
sketch基础认知
chenmiao_sky的博客
02-17 1114
关于sketch的基础认知总数据结构测量框架 参考文章: link. 总 入门小白一名,在读了四五篇sketch论文之后,从最初的浑浑噩噩到懵懵懂懂,总算是有所了解一点点。 数据结构 count-min sketch ,设计多个散列函数,有几个就有几行,散列到维护的计数器counter数组中,取多个散列的最小值min reversible 用于测大流,异常流,并能推断出信息来源; top-k 2010年 应用于检测数据流中最常见元素。 空间开销小,速度快 seqhash 没有仔细查 测量框架 op
论文学习记录20200515:安全多方计算综述[S&P2019]
cheese0.0的博客
05-15 3331
这篇综述主要就是调查了十一个安全多方计算的框架,进行了一些比对。他们还创建了一个github资源库,里面有这11个框架的代码、有样例还有相关的文档信息。 主要分为这两个方面,一个是调查,另一个就是这个开源资源。 在这项工作中,他们调查了十一个安全多方计算的通用编译器。其中有9个框架和连个电路编译器。考虑了11种系统:EMP工具包,Obliv-C,ObliVM,TinyGar-ble,SCALE-MAMBA(以前为SPDZ),Wysteria,Share-mind,PICCO,ABY,Frigate和CB.
论文学习记录20191220:多方安全计算[ccs17]
cheese0.0的博客
12-24 2240
以下PPT和文字都是对论文的一些自己的理解,才疏学浅,如有不当,欢迎讨论。 这是发在ccs2017的一篇有关安全多方计算的论文。 论文题目为 Efficient, Constant-Round and Actively Secure MPC: Beyond the Three-Party Case。 和前几周一样,这还是一个安全多方计算的问题。 先解题: 超过三方,文章主要讲的是5方,但是也可以...
#学习笔记#WEB攻防与渗透技术(一)web安全概述
cheese0.0的博客
08-05 1933
攻击网络服务器,远程控制机器,例如更换图片 SQL注入的漏洞,可以使用在url后加入语句 and 1=1/and 1=2来判断是否存在漏洞 服务器里的用户:两个禁用的,两个搭建网站用户,管理员用户 打开sqlmap文件夹,打开cmd命令行。 **攻击语句:**sqlmap.py -u “网页地址” –os-shell 获取系统shell 黑客常用的一些命令: Ne...
#学习笔记#SQL注入及DVWA之php+mysql手工注入实验
cheese0.0的博客
08-14 1624
手工注入 sql注入一些理论 1、理解万能密码使用 aps+access数据注入 2、php+mysql环境sql注入(流行) 静态网页:html或者htm,不需要服务器解析其中脚本。 不依赖数据库;灵活性差、制作、更新、维护麻烦;交互性较差 哪些地方存在注入漏洞? 参数名:id=36 pass=‘aaa’ 参数值 cookie 目录名 文件名 ……...
论文学习记录20200508:隐私保护机器学习[ccs2019]
cheese0.0的博客
05-15 1511
QUOTIENT: Two-Party Secure Neural Network Training and Prediction 最近,有大量的工作致力于为机器学习任务设计安全协议。其中大部分是为了实现高精度深层神经网络(DNNs)的安全预测。 然而,由于dnn是基于数据进行训练的,一个关键问题是如何安全地训练这些模型。以前关于安全DNN训练的工作很少,主要集中在为现有训练算法设计自定义协议,或者开发定制的训练算法,然后应用通用的安全协议。 在这项工作中,作者研究了在设计新的安全协议的同时设计训练算法的.
vda aspice for cybersecurity
最新发布
05-13
与此类似,VDA ASPICE for cybersecurity是作为汽车安全领域的标准,用于评估和优化汽车安全开发过程中的质量和效率的框架。 VDA ASPICE for cybersecurity框架聚焦于汽车的安全标准,包括硬件、软件和系统的安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值