SlockChain交易的时间方面使我们能够研究地址的行为并检测它是否参与了任何非法活动。但是,由于更改地址的概念(用于横幅重放攻击),时间方面不可直接适用于比特币区块链。在使用此类时间方面之前应该执行几个预处理步骤。我们有动力研究比特币交易网络,并使用诸如突发,吸引力和事件间时间等时间特征以及多个基于图形的属性,例如节点和聚类系数,以验证已知现有方法的应用性的适用性对于比特币区块区块的其他加密电机区块链。我们在不同的时间粒度上生成时间和非时间特征集并培训机器学习(ML)算法以验证最先进的方法。我们研究了数据集的不同时间粒度的地址的行为。我们确定在应用变更址群集之后,在比特币中,可以提取现有的时间特征,并且可以应用ML方法。结果的比较分析表明,在内部,出差和事件间的情况下,国内和比特币中的地址行为类似。此外,我们识别出3名嫌疑人,这些嫌疑人在不同的时间粒度上显示出恶意行为。这些嫌疑人并没有标记为比特币的恶意。
translated by 谷歌翻译
金融部门中区块链和分布式分类帐技术(DLT)的兴起产生了社会经济转变,引发了法律关注和监管计划。尽管DLT的匿名性可以保护隐私权,数据保护和其他公民自由的权利,但缺乏身份证明阻碍了问责制,调查和执法。最终的挑战范围扩展到打击洗钱以及恐怖主义和扩散的融资(AML/CFT)的规则。由于执法机构和分析公司已经开始成功地应用取证来跟踪区块链生态系统的货币,因此在本文中,我们着重于这些技术的不断增长的相关性。特别是,我们提供了有关机器学习,网络和交易图分析的货币互联网(IOM)应用程序的见解。在提供了IOM中匿名的概念以及AML/CFT和区块链取证之间的相互作用的一些背景之后,我们着重于导致实验的异常检测方法。也就是说,我们通过各种机器学习技术分析了一个现实世界中的比特币交易数据集。我们的说法是,AML/CFT域可以从机器学习中的新图形分析方法中受益。确实,我们的发现表明,图形卷积网络(GCN)和图形注意网络(GAT)神经网络类型代表了AML/CFT合规性的有希望的解决方案。
translated by 谷歌翻译
机器学习(ML)代表了当前和未来信息系统的关键技术,许多域已经利用了ML的功能。但是,网络安全中ML的部署仍处于早期阶段,揭示了研究和实践之间的显着差异。这种差异在当前的最新目的中具有其根本原因,该原因不允许识别ML在网络安全中的作用。除非广泛的受众理解其利弊,否则ML的全部潜力将永远不会释放。本文是对ML在整个网络安全领域中的作用的首次尝试 - 对任何对此主题感兴趣的潜在读者。我们强调了ML在人类驱动的检测方法方面的优势,以及ML在网络安全方面可以解决的其他任务。此外,我们阐明了影响网络安全部署实际ML部署的各种固有问题。最后,我们介绍了各种利益相关者如何为网络安全中ML的未来发展做出贡献,这对于该领域的进一步进步至关重要。我们的贡献补充了两项实际案例研究,这些案例研究描述了ML作为对网络威胁的辩护的工业应用。
translated by 谷歌翻译
比特币是将交易存储在公开分布的分类帐中的第一个和最高价值的加密货币。了解比特币参与者的活动和行为是一个关键的研究主题,因为它们在交易网络中是假名。在本文中,我们提出了一种基于污点分析来提取污点流的方法 - 动态网络,代表从初始源传递到其他参与者直至溶解的比特币序列。然后,我们应用图形嵌入方法来表征污点流。我们用顶部采矿池的污染流来评估我们的嵌入方法,并表明它可以高精度对采矿池进行分类。我们还发现,同一时期的污染流都显示出很高的相似性。我们的工作证明,追踪资金流可以是对源参与者分类和表征不同资金流程模式的有前途的方法
translated by 谷歌翻译
由于其交易实体的伪匿名性质,比特币比任何其他金融资产都更频繁地进行非法活动。理想的检测模型有望实现(i)早期检测,(ii)良好的解释性和(iii)多功能性的所有三个特性。但是,现有的解决方案无法满足所有这些要求,因为它们中的大多数都在不满意的情况下严重依赖深度学习,并且仅用于对特定非法类型的回顾性分析。首先,我们提出资产转移路径,旨在描述解决早期特征。接下来,采用基于决策树的特征选择和分割策略,我们将整个观察期分为不同的段,并将每个段作为段向量进行编码。聚集了所有这些段向量后,我们获得了全局状态向量,本质上是描述整体意图的基本单元。最后,一个层次自我注意力预测指标可以实时预测给定地址的标签。生存模块告诉预测因子何时停止并提出状态序列,即意图。 %依赖类型的选择策略和全球状态向量,我们的模型可用于检测具有强大解释性的各种非法活动。精心设计的预测指标和特定的损失功能可以进一步增强模型的预测速度和解释性。在三个现实世界数据集上进行的广泛实验表明,我们提出的算法优于最先进的方法。此外,其他案例研究证明我们的模型不仅可以解释现有的非法模式,还可以找到新的可疑字符。
translated by 谷歌翻译
权力下放的金融(DECI)是一种由各种区块链的智能合同构建的金融产品和服务系统。在过去的一年里,DEFI获得了普及和市场资本化。但是,它也成为了与加密货币相关的犯罪的震中,特别是各种类型的证券违规行为。缺乏了解您在DECII中的客户需求使各国政府不确定如何处理此空间的违规程度。本研究旨在通过机器学习方法解决这一问题,以确定基于其令牌的智能合同代码潜在地侵犯证券违规的污染项目。我们更广泛地调整了检测特定类型的证券违规行为的特定类型,基于从Defi项目令牌的智能合同代码中提取的功能来构建随机林分类器。最终分类器实现99.1%F1分数。对于任何分类问题来说,这种高性能令人惊讶,但是,从进一步的特征级别,我们发现一个特征使得一个高度可检测的问题。我们的研究的另一个贡献是一个新的数据集,由(a)验证的地面真理数据集,用于证券违规涉及的令牌和(b)来自项目中的Predi Aggregator的一组有效令牌,在项目上进行了尽职调查。本文进一步讨论了检察官在执法努力中使用我们的模式,并将其潜在利用与更广泛的法律背景联系起来。
translated by 谷歌翻译
我们呈Anubis,一个基于高效的机器学习的APT检测系统。我们的Anubis设计哲学涉及两个主要成分。首先,我们打算通过网络响应团队有效利用Anubis。因此,预测解释性是Anubis设计的主要焦点之一。其次,Anubis使用系统来源图来捕获因果关系,从而实现高检测性能。在Anubis的预测能力的核心,有一个贝叶斯神经网络,可以说明它在预测中有多自信。我们评估Anubis对最近的APT数据集(DARPA OPTC),并显示Anubis可以检测到具有高精度的APT活动的恶意活动。此外,Anubis了解高级模式,允许它解释其对威胁分析师的预测。可解释的攻击故事重建的高预测性能使Anubis成为企业网络防御的有效工具。
translated by 谷歌翻译
概念漂移过程挖掘(PM)是一种挑战,因为古典方法假设进程处于稳态,即事件共享相同的进程版本。我们对这些领域的交叉点进行了系统的文献综述,从而审查了过程采矿中的概念漂移,并提出了用于漂移检测和在线流程挖掘的现有技术的分类,以实现不断发展的环境。现有的作品描绘了(i)PM仍然主要关注离线分析,并且(ii)由于缺乏公共评估协议,数据集和指标,过程中的概念漂移技术的评估是麻烦的。
translated by 谷歌翻译
许多网络攻击始于传播网络钓鱼URL。在单击这些网络钓鱼URL时,受害者的私人信息会泄漏给攻击者。已经提出了几种机器学习方法来检测网络钓鱼URL。然而,检测出逃避的网络钓鱼URL,即通过操纵模式假装良性的网络钓鱼URL仍然尚未探索。在许多情况下,攻击者i)重复使用网络钓鱼网页,因为制造完全全新的套装成本非平凡费用,ii)偏爱不需要私人信息并且比其他人更便宜的托管公司,iii)喜欢共享的托管服务成本效率和IV)有时使用良性域,IP地址和URL字符串模式来逃避现有的检测方法。受这些行为特征的启发,我们提出了一种基于网络的推理方法,以准确检测具有合法模式的网络钓鱼URL,即逃避稳定。在网络方法中,即使在逃避之后,网络钓鱼URL仍将被确定为网络师,除非同时逃避网络中的大多数邻居。我们的方法始终在各种实验测试中显示出更好的检测性能,而不是最先进的方法,例如,对于我们的方法,对于最佳功能方法而言,我们的方法为0.89,而0.84。
translated by 谷歌翻译
每天创建数以万计的恶意域。这些恶意域托管在各种网络基础架构上。传统上,攻击者利用子弹证明托管服务(例如,Cyber Bunker)来利用相对宽度的策略,就他们托管的内容。但是,这些IP范围越来越受阻,或者通过执法进行服务。因此,攻击者正在朝着在这些托管提供商的雷达下使用常规托管提供商的IP。准确了解用于托管恶意域的IP类型存在几种实际优点。如果IP是专用IP(即它被租用到单个实体),则可以将IP列入IP以阻止托管在那些IP上的域作为窗口,作为识别其他恶意域托管同一IP的方法。如果IP是共享托管IP,托管提供程序可能会采取措施清理此类域并对其用户保持良好的声誉。
translated by 谷歌翻译
内幕威胁是昂贵的,难以检测,不幸的是发生在发生。寻求改善检测此类威胁,我们开发了新颖的技术,使我们能够提取强大的特征,产生高质量的图像编码,以及增加攻击向量,以获得更大的分类功率。结合,它们形成计算机视觉用户和实体行为分析,一种从地上设计的检测系统,以提高学术界的进步,并减轻防止工业先进模型的问题。该拟议的系统击败了学术界和工业中使用的最先进方法。
translated by 谷歌翻译
在线社交网络由于其在低质量信息的传播中的作用而积极参与删除恶意社交机器人。但是,大多数现有的机器人检测器都是监督分类器,无法捕获复杂机器人的不断发展的行为。在这里,我们提出了Mulbot,这是一种基于多元时间序列(MTS)的无监督的机器人检测器。我们第一次利用从用户时间表中提取的多维时间功能。我们使用LSTM AutoCododer管理多维性,该模块将MTS投射在合适的潜在空间中。然后,我们对此编码表示形式执行聚类步骤,以识别非常相似用户的密集组 - 一种已知的自动化迹象。最后,我们执行一项二进制分类任务,以达到F1得分$ = 0.99 $,表现优于最先进的方法(F1分数$ \ le 0.97 $)。 Mulbot不仅在二进制分类任务中取得了出色的成果,而且我们还在一项新颖且实际上相关的任务中证明了它的优势:检测和分离不同的僵尸网络。在此多级分类任务中,我们实现了F1得分$ = 0.96 $。我们通过估计模型中使用的不同特征的重要性,并通过评估Mulbot推广到新看不见的机器人的能力,从而提出了解决监督机器人探测器的概括性缺陷的解决方案。
translated by 谷歌翻译
即使机器学习算法已经在数据科学中发挥了重要作用,但许多当前方法对输入数据提出了不现实的假设。由于不兼容的数据格式,或数据集中的异质,分层或完全缺少的数据片段,因此很难应用此类方法。作为解决方案,我们提出了一个用于样本表示,模型定义和培训的多功能,统一的框架,称为“ Hmill”。我们深入审查框架构建和扩展的机器学习的多个范围范式。从理论上讲,为HMILL的关键组件的设计合理,我们将通用近似定理的扩展显示到框架中实现的模型所实现的所有功能的集合。本文还包含有关我们实施中技术和绩效改进的详细讨论,该讨论将在MIT许可下发布供下载。该框架的主要资产是其灵活性,它可以通过相同的工具对不同的现实世界数据源进行建模。除了单独观察到每个对象的一组属性的标准设置外,我们解释了如何在框架中实现表示整个对象系统的图表中的消息推断。为了支持我们的主张,我们使用框架解决了网络安全域的三个不同问题。第一种用例涉及来自原始网络观察结果的IoT设备识别。在第二个问题中,我们研究了如何使用以有向图表示的操作系统的快照可以对恶意二进制文件进行分类。最后提供的示例是通过网络中实体之间建模域黑名单扩展的任务。在所有三个问题中,基于建议的框架的解决方案可实现与专业方法相当的性能。
translated by 谷歌翻译
基于主机的威胁,如程序攻击,恶意软件植入和高级持久威胁(APT)通常由现代攻击者采用。最近的研究建议利用数据出处中的丰富的上下文信息来检测主机中的威胁。数据出处是由系统审核数据构造的定向非循环图。来源图中的节点代表系统实体(例如,$ Process $和$文件$),并且边缘代表信息流方向的系统调用。然而,以前的研究,其中提取整个来源图的特征,对少量威胁相关实体不敏感,因此在狩猎隐秘威胁时导致低性能。我们提出了基于异常的基于异常的探测器,可以在没有攻击模式的情况下检测系统实体级别的基于主机的威胁。我们量身定制Graphsage,一个感应图形神经网络,以在出处图中学习每个良性实体的角色。 ThreaTrace是一个实时系统,可扩展,监控长期运行主机,并能够在早期阶段检测基于主机的入侵。我们在三个公共数据集中评估触角。结果表明,ThreaTrace优于三种最先进的主机入侵检测系统。
translated by 谷歌翻译
横向移动是指威胁参与者最初访问网络的方法,然后逐步通过上述网络收集有关资产的关键数据,直到达到其攻击的最终目标。随着企业网络的复杂性和相互联系的性质的增加,横向移动侵入变得更加复杂,并且需要同样复杂的检测机制,以便在企业量表下实时实时地进行此类威胁。在本文中,作者提出了一种使用用户行为分析和机器学习的新颖,轻巧的方法,用于横向运动检测。具体而言,本文介绍了一种用于网络域特异性特征工程的新方法,该方法可以以每个用户为基础识别横向运动行为。此外,工程功能还被用于开发两个监督的机器学习模型,用于横向运动识别,这些模型在文献中显然超过了先前在文献中看到的模型,同时在具有高级失衡的数据集上保持了稳健的性能。本文介绍的模型和方法也已与安全操作员合作设计,以相关和可解释,以最大程度地发挥影响力并最大程度地减少作为网络威胁检测工具包的价值。本文的基本目标是为近实时的横向运动检测提供一种计算高效的,特定于域的方法,该检测对企业规模的数据量和类别不平衡是可解释且健壮的。
translated by 谷歌翻译
最近,网络钓鱼诈骗对块线构成了重大威胁。网络钓鱼探测器指导他们在狩猎网络钓鱼地址方面的努力。大多数检测器通过随机行走或构建静态子图提取目标地址的交易行为特征。随机行走方法,遗憾的是,由于采样序列长度有限,通常会错过结构信息,而静态子图方法倾向于忽略在不断变化的交易行为中忽略时间的时间特征。更重要的是,当恶意用户故意隐藏网络钓鱼行为时,它们的性能经历严重退化。为了解决这些挑战,我们提出了一种动态图分类,从事务演变图(TEGS)中了解了一种动态图形分类器。首先,我们将交易系列转换为多个时间片,在不同时段中捕获目标地址的交易行为。然后,我们提供快速非参数的网络钓鱼检测器,以缩小可疑地址的搜索空间。最后,TEGDetector认为空间和时间的演变,朝着不断变化的交易行为的完整表征。此外,TEGDetector利用了自适应的学习时间系数来向不同的关注点关注不同的时期,这提供了几个新颖的洞察力。大型Etereum Transaction DataSet上的广泛实验表明,该方法实现了最先进的检测性能。
translated by 谷歌翻译
越来越多的工作已经认识到利用机器学习(ML)进步的重要性,以满足提取访问控制属性,策略挖掘,策略验证,访问决策等有效自动化的需求。在这项工作中,我们调查和总结了各种ML解决不同访问控制问题的方法。我们提出了ML模型在访问控制域中应用的新分类学。我们重点介绍当前的局限性和公开挑战,例如缺乏公共现实世界数据集,基于ML的访问控制系统的管理,了解黑盒ML模型的决策等,并列举未来的研究方向。
translated by 谷歌翻译
异常值是一个事件或观察,其被定义为不同于距群体的不规则距离的异常活动,入侵或可疑数据点。然而,异常事件的定义是主观的,取决于应用程序和域(能量,健康,无线网络等)。重要的是要尽可能仔细地检测异常事件,以避免基础设施故障,因为异常事件可能导致对基础设施的严重损坏。例如,诸如微电网的网络物理系统的攻击可以发起电压或频率不稳定性,从而损坏涉及非常昂贵的修复的智能逆变器。微电网中的不寻常活动可以是机械故障,行为在系统中发生变化,人体或仪器错误或恶意攻击。因此,由于其可变性,异常值检测(OD)是一个不断增长的研究领域。在本章中,我们讨论了使用AI技术的OD方法的进展。为此,通过多个类别引入每个OD模型的基本概念。广泛的OD方法分为六大类:基于统计,基于距离,基于密度的,基于群集的,基于学习的和合奏方法。对于每个类别,我们讨论最近最先进的方法,他们的应用领域和表演。之后,关于对未来研究方向的建议提供了关于各种技术的优缺点和挑战的简要讨论。该调查旨在指导读者更好地了解OD方法的最新进展,以便保证AI。
translated by 谷歌翻译
自动日志文件分析可以尽早发现相关事件,例如系统故障。特别是,自我学习的异常检测技术在日志数据中捕获模式,随后向系统操作员报告意外的日志事件事件,而无需提前提供或手动对异常情况进行建模。最近,已经提出了越来越多的方法来利用深度学习神经网络为此目的。与传统的机器学习技术相比,这些方法证明了出色的检测性能,并同时解决了不稳定数据格式的问题。但是,有许多不同的深度学习体系结构,并且编码由神经网络分析的原始和非结构化日志数据是不平凡的。因此,我们进行了系统的文献综述,概述了部署的模型,数据预处理机制,异常检测技术和评估。该调查没有定量比较现有方法,而是旨在帮助读者了解不同模型体系结构的相关方面,并强调未来工作的开放问题。
translated by 谷歌翻译
自2009年比特币成立以来,随着日常交易超过100亿美元,加密货币的市场已经超出了初始预期。随着行业的自动化,自动欺诈探测器的需求变得非常明显。实时检测异常会阻止潜在的事故和经济损失。多元时间序列数据中的异常检测提出了一个特定的挑战,因为它需要同时考虑时间依赖性和变量之间的关系。实时识别异常并不是一项容易的任务,特别是因为他们观察到的确切的异常行为。有些要点可能会呈现全球或局部异常行为,而其他点由于其频率或季节性行为或趋势的变化,可能是异常的。在本文中,我们建议从特定帐户进行以太坊的实时交易,并调查了各种各样的传统和新算法。我们根据他们搜索的策略和异常行为对它们进行分类,并表明当它们将它们捆绑在一起时,它们可以证明是一个很好的实时探测器,警报时间不超过几秒钟,并且非常有高信心。
translated by 谷歌翻译