面向移动恶意应用流量的非平衡识别方法研究

发布时间：2020-11-07 06:44

　　 随着移动网络的高速发展,以智能手机和平板电脑为主的智能终端的数量呈指数级的增长。智能手机的普及给人们的生活带来了诸多的便利,同时也存在着许多安全问题。近年来,恶意应用日益猖獗,给用户和社会带来了极大危害,也给网络安全与管理带来新的挑战。而大部分的恶意应用通过网络执行恶意行为,因此,分析移动应用产生的恶意流量成为安全领域研究的热点。近年来,基于机器学习的流量识别技术日趋成熟,这使得从机器学习与网络技术的角度对恶意流量准确识别成为可能。然而应用机器学习技术,研究有效的恶意流量识别方法,数项关键问题却亟待解决:(1)恶意流量特征提取问题。随着技术的发展,采用传统特征对恶意流量的识别率已经不能满足实际需求。(2)包抽样问题。在高速网络环境中,网络的速率越来越快,采集和处理完整数据流相当困难;包抽样技术的发展给流量识别提供了一种新思路,减轻了计算机的负担。(3)非平衡流量分类问题。从互联网中流量分布角度来看,正常流量远远高于恶意流量,直接采用标准的分类算法更倾向于对正常流量的准确识别,分类器获得的性能往往不尽人意。针对恶意流量识别中的以上问题,本文将从以下几个方面开展研究工作:首先,针对恶意流量特征提取和评估问题,本文分别从数据包层面和内容层面提取了特征,采用机器学习算法对数据集进行训练,并构建有效的恶意流量识别模型。其次,针对样本抽样问题,本文在早期恶意流量识别中,采用了数据包抽样技术,结合分类算法验证了样本抽样在流量识别中的有效性。最后,针对非平衡分类问题,本文从数据层面的角度出发,提出了三种解决方法。(1)本文提出了一种基于对抗生成网络的样本再生成方法,通过网络的对抗训练学习真实数据的潜在分布并合成少数类样本,结合机器学习算法验证了方法的有效性。(2)本文提出了一种非线性加权差异化样本重采样方法。该方法构造出一个在能反映少数类的安全样本和边界样本对分类有不同作用的函数,计算每个少数类样本的权重和采样率。然后,结合SMOTE算法对样本进行过采样并验证了算法的有效性。(3)本文提出了一种基于差分进化的改进的SMOTE算法。通过差分进化算法智能地搜索最优的采样率取值组合,然后根据该组合对数据集进行SMOTE采样。实验表明,该算法在解决非平衡问题上是有效的。
【学位单位】：济南大学
【学位级别】：硕士
【学位年份】：2018
【中图分类】：TP181;TP393.08
【部分图文】：

首先我们在流量的包级别上进行了特征提取。图 3.1 Packet 包头和 Packet 数据组成图 3.1 是 Pcap 文件去除文件头之后的数据格式，可以看到 Packet Header 可以有多个，每个 Packet Header 后面会跟着一串 Packet Data，Packet Header 定义了 Packet Data的长度、时间戳等信息。Pcap 包头（Packet Header）字段说明：Timestamp：时间戳高位，精确到 seconds。

面向移动恶意应用流量的非平衡识别方法研究了在提取的特征集合进行训练，并得到的实验结果。可果中，大多数的分类器上在包到达时间间隔上分类准确小，所有的算法的在 iat 上的准确率降低了 5%左右。实包大小是比 iat 更有效的流量识别特征。此外，本文把n+iat），可以看到所有的分类算法在混合特征上的分类尤其在 C4.5 和 KNN 上表现更为显著。这表明 iat 包含

图 3.5 不同的压缩比例的 ACC 的实验结果的压缩比例的 ACC 的结果，可以看到：所有的分类准确率基本相同，在 ratio=8 的识别效果最差。这是会丢失一定的信息，对恶意流量的识别精度自然降tio=256 时，只是简单的计算字符串包含了多少个相
【参考文献】

相关期刊论文 前5条

1 危美林;张明清;董书琴;李海龙;齐先庆;;面向异常流量检测的自适应抽样算法研究[J];计算机应用研究;2015年10期

2 霍玉丹;谷琼;蔡之华;袁磊;;基于遗传算法改进的少数类样本合成过采样技术的非平衡数据集分类算法[J];计算机应用;2015年01期

3 刘余霞;刘三民;刘涛;王忠群;;一种新的过采样算法DB_SMOTE[J];计算机工程与应用;2014年06期

4 陈伟;胡磊;杨龙;;基于载荷特征的加密流量快速识别方法[J];计算机工程;2012年12期

5 王超学;潘正茂;董丽丽;马春森;张星;;基于改进SMOTE的非平衡数据集分类研究[J];计算机工程与应用;2013年02期

本文编号：2873587