基于信任的网络群体异常行为发现
摘要:现今大规模网络群体异常事件往往由多个复杂安全事件融合,且这些安全事件之间隐藏着社会化利益与联系,表现出典型的群体性与控制性.对恶意网络群体事件的感知与响应是网络安全管理的重要任务之一.传统的异常检测机制与基于偶图模型的群体异常行为发现方法均未深入分析这些恶意网络行为潜在的社会化关系,且没有考虑交互过程对节点关系的影响.基于此,文中提出一种基于信任的网络群体异常行为发现模型.该模型首先使用网络交互拓扑信息建立网络节点间的信任矩阵;进而结合直接信任度和相关信任度计算网络节点间的相似度,并通过松弛谱聚类算法中的约束条件,增强类数目的自动识别能力,提高节点聚类准确性.实验表明该模型交互能够有效感知网络中的分布式拒绝服务攻击、蠕虫与僵尸网络的异常行为,并对潜伏期内的安全事件行为有较高识别度,同时比基于偶图的行为分类模型具有更高的准确性.基于多类特征的Android应用恶意行为检测系统
摘要:目前针对未知的Android恶意应用可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分发挥Android应用的多类行为特征在恶意代码检测上所起的不同作用.文中首次提出了一种综合考虑Android多类行为特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm)用于检测Android未知恶意应用.首先,采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征;然后,针对上述3类特征设计了三层混合系综算法THEA,该算法通过构建适合3类特征的最优分类器来综合评判Android应用的恶意行为;最后,基于THEA实现了Android应用恶意行为检测工具Androdect,并对现实中的1126个恶意应用和2000个非恶意应用进行检测.实验结果表明,Androdect能够利用Android应用的多类行为特征有效检测Android未知恶意应用.并且与其它相关工作对比,Androdect在检测准确率和执行效率上表现更优.一种基于选择性协同学习的网络用户异常行为检测方法
摘要:为了快速准确检测网络用户的异常行为,机器学习技术得到了广泛应用.但随着用户规模的扩大及用户行为的复杂化,基于机器学习的传统检测方法面临着大量标记训练样本而导致的巨大开销、实际网络用户异常行为数据非平衡性而导致的检测准确性不足等问题.因此,将选择性集成技术引入到协同学习过程中,提出了一种基于选择性协同学习的网络用户异常行为检测方法,使用基于多数类分布的改进EasyEnsemble方法将非平衡训练样本划分为平衡的样本子集,然后使用基于混合扰动的生成方法构造差异性成员分类器对样本子集进行协同学习,在学习过程中使用选择性集成进行置信度计算与数据更新以减少开销,并基于准确性选择构建集成分类器用于实际检测,使得检测方法在获得非平衡性复杂分布数据的处理能力的同时进一步提高检测准确性.实验结果表明,该方法较传统方法减少了对训练样本中标记数据的需求,同时在准确性评价指标上表现更好,能更快速准确地检测出网络用户的异常行为.大规模层次分类中的候选类别搜索
摘要:大规模层次分类问题研究如何将互联网上的网页文档准确地分到类别层次中的各个类别.因为类别层次规模巨大,通常可以达到数千甚至数万个类别,严重影响了分类性能.对此,已有研究通过搜索待分类文档在类别层次中的候选类别对文档进行分类,但结果表明候选类别搜索成为了其中瓶颈.文中首先对候选搜索问题的计算复杂性进行了分析,证明了该问题是NP难的,接下来提出了一个基于贪心策略的启发式候选搜索算法,并且证明了该贪心策略在求解过程中是一个局部最优选择.作者采用DMOZ目录中的简体中文网页数据进行了实验论证,实验结果显示,相比已有算法,文中提出的候选类别搜索算法在候选类别搜索的准确率上提高了大约7.5%.一种关联网络和主机行为的延迟僵尸检测方法
摘要:僵尸网络对现有计算机网络安全构成了巨大的威胁.新型僵尸经常采用隐蔽技术躲避安全系统的检测.采用延迟响应手段的僵尸在网络活动和主机行为之间插入随机时间的延迟,迷惑现有使用关联的检测方法.针对延迟僵尸的网络活动和主机行为,提出了一个新的关联检测方法.针对延迟僵尸的网络活动和主机行为可能分散在不同时间窗口的问题,使用滑动时间窗口迭代算法,提高了检测准确率.针对单纯主机检测方法需要全局部署问题,使用推荐算法关联网络和主机行为,提高了检测的健壮性和准确率.分析了滑动时间窗口大小和主机检测工具部署率对检测准确率的影响.实验结果表明,方法能有效检测延迟僵尸,当网络中主机检测工具的部署率达到80%时,包括未部署检测工具的主机在内,准确率约为88%.基于概率攻击图的内部攻击意图推断算法研究
摘要:内部攻击行为具有明显的多步骤性和伪装性.这些特性增加内部攻击检测的难度,影响检测结果的准确性.攻击图模型能够描述攻击行为的多个攻击步骤之间的因果关系,但由于单步攻击检测结果存在的不确定性,使得攻击图模型无法准确地推断攻击者的意图.该文在攻击图模型中引入转移概率表,刻画单步攻击检测结果的不确定性,即从观测事件推导出某步攻击发生的概率,提出了一个面向内部攻击意图推断的概率攻击图模型.基于该模型,提出了一种推断内部攻击意图的算法以及针对攻击目标的最大概率攻击路径的计算方法.实验结果表明该文的工作能够有效地推断攻击意图和计算攻击路径,减少不可信报警数量,为网络安全管理员提供良好的可配置性.一种基于文法压缩的日志异常检测算法
摘要:近年来日志挖掘是一种广泛使用的检测应用状态异常的方法.现有的异常检测算法需要大量计算,或者它们的有效性依赖于测试日志满足一些预先定义的日志事件概率分布.因此,它们无法用于在线检测并且在假设不成立时会失效.为了解决这些问题,该文提出了一种新的异常检测算法CADM.CADM使用正常日志和待检测日志之间的相对熵作为异常程度的标识.为了计算相对熵,CADM充分利用了相对熵和文法压缩编码大小之间的关系而不是预先定义日志事件概率分布的族.通过这种方式,CADM避免了对日志分布的预先假设.除此之外,CADM的计算复杂度为O(n),因此在日志较大的情况下有较好的扩展性.通过在仿真的日志和公开日志集上的评测结果可以看出,CADM不仅可以应用在更广泛的程序日志上,也有更高的检测精度,因此更适合在线日志挖掘异常检测的工作.移动社交应用的用户隐私泄漏问题研究
摘要:智能移动终端以其强大的处理能力和丰富的功能应用迅速得到普及,成为人们日常生活中存储和处理个人信息必不可少的工具.在众多的移动应用中,社交通信类应用致力于为人们提供便捷的日常通信服务,这类应用相比移动通信运营商提供的传统短消息服务更加经济实用,同时提供多媒体通信方式进一步增强用户的社交体验,从而迅速地被广泛接受.为了进一步巩固自身的用户群体,增加用户黏度,这类应用在其内部增添了一种称为“通讯录匹配”的功能.该功能能够向用户推荐其手机通讯录中已经注册过该应用的线下联系人为好友,从而帮助用户快速地将线下社交圈移植到应用线上.然而,用户在获得便利的同时也面临着潜在的隐私泄露风险.文中首次提出了一种独立于各移动智能平台的、能有效利用移动社交通信类应用的通讯录匹配功能实现大规模收集用户私人数据的方法,该方法能够收集到存储于目标应用服务器的用户个人资料,包括手机号码和虚拟应用账户资料以及两者之间的映射关系;其次,为了获取规模更大,内容更全面、更真实的用户资料,文本提出了基于多款社交通信类应用的跨应用整合分析方法以及针对不同应用来源的用户资料数据一致性与真实性分析;最后,在信息获取和分析方法的指导下,文中建立了利用上述漏洞的原型系统,进行了大规模数据实验,最终验证了上述方法的有效性和良好的可扩展性.差分隐私保护及其应用
摘要:数据与数据挖掘中的隐私保护问题是目前信息安全领域的一个研究热点.作为一种严格的和可证明的隐私定义,差分隐私近年来受到了极大关注并被广泛研究.文中分析了差分隐私保护模型相对于传统安全模型的优势,对差分隐私基础理论及其在数据与数据挖掘中的应用研究进行综述.在数据方面,介绍了各种交互式和非交互式的差分隐私保护方法,并着重从精确度和样本复杂度的角度对这些方法进行了比较.在数据挖掘方面,阐述了差分隐私保护数据挖掘算法在接口模式和完全访问模式下的实现方式,并对这些算法的执行性能进行了分析.最后,介绍了差分隐私保护在其它领域的应用,并展望未来的研究方向.基于兴趣点分布的外包空间数据隐私保护方法
摘要:随着云服务与位置感知设备的普及,大量与位置相关的信息需要外包给服务提供商,由此引发的空间数据隐私问题得到了学术界的广泛关注.Hilbert曲线作为一种空间转换的方法,被广泛应用于空间数据的隐私保护中,但标准Hilbert曲线未考虑兴趣点的分布特征,可能需要多次调整曲线参数,且无法支持数据拥有者对空间区域的自定义授权.针对上述问题,提出一种可以根据兴趣点分布而自适应变化的Hilbert曲线(AHC),该曲线根据设定的存储容量将空间划分为原子区域,使用Hilbert曲线的分形规则确定各原子区域的顺序,并由此生成密钥树,数据拥有者可以将密钥树的一部分共享给授权使用者,从而实现对空间区域的自定义授权;设计了基于AHC的空间查询处理方案,支持兴趣点的索引值计算、范围查询与KNN查询处理;定义了空洞指数以量化外包数据的隐私信息泄露风险.在真实数据集与模拟数据集上的实验表明,与标准Hilbert曲线相比,该文提出的AHC在进行空间转换方面具有更高的安全性与更优的查询效率.面向网络内容隐私的基于身份加密的安全自毁方案
摘要:针对网络内容生命周期隐私保护问题,结合多级安全、基于身份的加密(Identity-Based Encryption,IBE)和分布式Hash表(Distributed Hash Table,DHT)网络,提出了一种面向网络内容隐私的基于身份加密的安全自毁方案.为了实现密文安全,将网络内容划分为不同安全等级的隐私内容块,经对称密钥加密转变为原始密文;借助耦合和提取方法,将原始密文变换为耦合密文并进一步分解成提取密文和封装密文,然后将封装密文保存到存储服务提供商.为进一步保护网络内容过期后的隐私安全,对称密钥经IBE加密后的密文与提取密文一起经拉格朗日多项式处理生成混合密文分量并分发到DHT网络中.当超过生存期限,DHT网络节点将自动丢弃所存密文分量,从而使对称密钥和原始密文不可恢复,实现网络内容安全自毁.综合分析表明,与已有方案相比,该方案满足设计目标,不仅能抵抗传统密码分析攻击和蛮力攻击,还能抵抗DHT网络的跳跃和嗅探等Sybil攻击.基于X.509证书测量的隐私泄露分析
摘要:SSL协议由于易于部署以及集成在Web浏览器中的天然属性,被广泛应用于保障网页浏览、电子邮件、文件传输等应用服务的信息传输安全,其中最典型的应用是HTTPS.然而,实践中往往由于HTTPS服务的部署存在问题,比如服务器采用自签名X.509证书等,给用户带来严重的安全威胁,包括信息遭窃取、用户身份和行为隐私泄露等.本文从标识服务器身份的X.509证书出发,通过对真实环境HTTPS服务端证书的大范围测量和分析来揭示采用自签名证书的HTTPS服务存在的应用服务类型泄露问题,以及由此引起的用户网络行为隐私泄露威胁.针对大规模真实环境中用户网络行为的测量分析和海量日志挖掘结果表明,X.509自签名证书提供了较强区分服务器加密应用类型的身份信息,加密HTTPS应用服务器的身份隐藏手段在很大程度上可以通过统计行为分析来识破,提供相同或相似的特定应用服务的服务器的被正确分类的准确率最高可达95%.在线社会网络的测量与分析
摘要:Facebook、Twitter、人人网和新浪微博等社交网站逐渐成为互联网上用户数量最多、最受欢迎的网站.近年来,国内外已有大量研究工作深入考察在线社会网络的拓扑结构和用户行为,这对理解人类的社会行为、改进现有的网站系统和设计新的在线社会网络应用具有重要意义.文中从测量角度对在线社会网络的拓扑结构、用户行为和网络演化等方面进行了综述,总结了常见的测量方法和典型的网络拓扑参数,着重介绍了用户行为特征、用户行为对网络拓扑的影响以及网络的演化.可以看出,随着研究的深入,在线社会网络的新特征逐渐被大家认识和理解,包括好友少的用户的交流范围集中在小部分好友,而好友多的用户联系的好友更均匀;用户之间的交互减小了在线社会网络的聚类系数,使网络结构更松散;边的生成受优先连接和临近偏倚的共同影响;小社团倾向于和大社团合并,大社团倾向于分裂为两个规模相当的小社团等.在线社会网络中信息扩散
摘要:在线社会网络中信息扩散研究可以帮助网络用户获取有价值信息、帮助企业推广产品、帮助政府调控舆情,应用价值巨大.该文旨在综述在线社会网络中信息扩散研究的现状.首先详细阐述了研究背景和研究意义;随后将当前研究划分为基于理论扩散模型的研究和基于信息扩散级联的研究两类,前者包括信息扩散特性研究、信息扩散概率计算、信息扩散最大化问题和竞争性的信息扩散最大化问题,后者包括信息扩散特性研究、用户影响力计算和信息扩散预测模型,对上述各方向的研究方法和研究进展进行了概括、比较和归纳,同时对各研究方向之间的内在关联进行了深入分析;接着探讨了信息扩散动态性和在线社会网络动态性的关系;最后对该研究目前存在的问题和一些未来发展方向进行了总结.微博用户的相似性度量及其应用
摘要:微博用户的兴趣分析和模型表示是用户关系分析的基础,而用户关系分析又构成了微博社会网络的生成和分析的基础.该文主要讨论微博的用户关系分析技术.作者将微博社会网络视为一个加权无向图,节点表示用户,边表示用户之间的关系,边的权值表示用户之间的关系强度.该文将用户关系强度定义为用户之间的相似度,分别给出了基于各种用户属性信息(背景信息、微博文本、社交信息)的用户相似度计算方法,并通过实验系统性对比了上述方法的优劣.实验结果显示:基于社交信息的用户相似度在用户关系分析方面取得了最好的效果.为了进一步验证上述用户相似度的实际性能,该文将它们应用于用户推荐的相关实验,基于社交信息的用户相似度又取得了最好的推荐效果.最后,该文应用基于社交信息的用户相似度生成了微博的社会网络(称作用户相似性网络),在该社会网络上进行了团体挖掘的实验,实验结果显示了该相似度在团体挖掘上的有效性.一种结合推荐对象间关联关系的社会化推荐算法
摘要:随着社会化媒体的兴起,信息资源的数量呈现爆炸式增长,如何在海量的信息中帮助用户发现有用的知识成为亟需解决的问题.社会化推荐方法作为一种有效的信息过滤技术,由于能够结合社会网络的特点,模拟现实社会中的推荐过程,在分析用户历史行为的基础上,主动向用户推荐满足他们兴趣和需求的信息,受到了研究者们的广泛关注.但目前已有的方法大都只从用户间社会关系的角度出发,仅认为相互信任的朋友间具有相似的兴趣爱好,而忽略了推荐对象间的关联关系对推荐结果产生的影响.针对以上存在的问题,文中从推荐对象间关联关系的角度出发,假设具有关联关系的推荐对象更容易受到同一用户的关注,并进而在已有的社会化推荐算法的基础上,提出了一种结合推荐对象间关联关系进行推荐的算法.算法使用共享的潜在特征空间对目标函数的求解过程进行约束,使其在考虑用户间社会关系的同时,也考虑到推荐对象间关联关系所起到的重要作用.实验结果表明,与主流的推荐算法相比,文中所提出的方法在分类准确率和评分误差等多种评价指标上都取得了更好的结果.面向微博搜索的时间感知的混合语言模型
摘要:已有研究表明,时间是影响信息检索特别是微博检索的重要因素.现有的代表性工作是将时间信息作为文档先验融入统计语言检索模型,目前主要有跟查询无关和跟查询有关两种做法.这两种做法得到的模型均基于“时间越新文档越重要”这个简单假设.然而,对实际数据集进行分析发现,大多数微博查询的大部分相关文档并没有出现在最新时刻,因此上述假设并不成立.文中从这一点出发,定义这些相关文档集中出现的高峰点为热门时刻(Hot Time),并提出新假设“越靠近热门时刻,文档越重要”.基于该假设,文中提出了基于热门时刻的4个系列模型(HTLMs).在此基础上,将查询无关模型看作是文档的背景时间信息而将查询有关模型看作是文档的独立时间信息,由此引入平滑思想提出混合的时间模型(MTLM).基于TREC Microblog数据的实验结果表明,HTLM模型优于现有的工作,而混合模型项对于单一模型会有进一步的提高.基于豆瓣同城活动的线上线下社交影响研究
摘要:社交网络中单纯的线上交互已经无法满足用户的需求,一些新型的融合用户线上和线下体验的社交网络服务开始出现.文中基于国内知名的豆瓣同城活动网站,探索用户线下活动和线上行为的特点,进而研究线上线下的社交影响.通过对44天内采集到的6545个活动和近10万次参与用户的统计分析,结合对活跃用户的问卷调查和真实数据实例验证两种方式,发现线上社交影响在一定条件下推动了活动的开展,而活动的开展对用户线上社交关系的建立也有一定的促进作用.该研究有助于理解基于线下活动的社交网络及其参与者的行为特点,并验证了线下活动与线上关系的相互影响,该研究成果对于广告投放、活动组织和好友推荐等应用有重要现实意义.