每天创建数以万计的恶意域。这些恶意域托管在各种网络基础架构上。传统上，攻击者利用子弹证明托管服务（例如，Cyber​​ Bunker）来利用相对宽度的策略，就他们托管的内容。但是，这些IP范围越来越受阻，或者通过执法进行服务。因此，攻击者正在朝着在这些托管提供商的雷达下使用常规托管提供商的IP。准确了解用于托管恶意域的IP类型存在几种实际优点。如果IP是专用IP（即它被租用到单个实体），则可以将IP列入IP以阻止托管在那些IP上的域作为窗口，作为识别其他恶意域托管同一IP的方法。如果IP是共享托管IP，托管提供程序可能会采取措施清理此类域并对其用户保持良好的声誉。

Automatic fake news detection is a challenging problem in misinformation spreading, and it has tremendous real-world political and social impacts. Past studies have proposed machine learning-based methods for detecting such fake news, focusing on different properties of the published news articles, such as linguistic characteristics of the actual content, which however have limitations due to the apparent language barriers. Departing from such efforts, we propose FNDaaS, the first automatic, content-agnostic fake news detection method, that considers new and unstudied features such as network and structural characteristics per news website. This method can be enforced as-a-Service, either at the ISP-side for easier scalability and maintenance, or user-side for better end-user privacy. We demonstrate the efficacy of our method using data crawled from existing lists of 637 fake and 1183 real news websites, and by building and testing a proof of concept system that materializes our proposal. Our analysis of data collected from these websites shows that the vast majority of fake news domains are very young and appear to have lower time periods of an IP associated with their domain than real news ones. By conducting various experiments with machine learning classifiers, we demonstrate that FNDaaS can achieve an AUC score of up to 0.967 on past sites, and up to 77-92% accuracy on newly-flagged ones.

许多网络攻击始于传播网络钓鱼URL。在单击这些网络钓鱼URL时，受害者的私人信息会泄漏给攻击者。已经提出了几种机器学习方法来检测网络钓鱼URL。然而，检测出逃避的网络钓鱼URL，即通过操纵模式假装良性的网络钓鱼URL仍然尚未探索。在许多情况下，攻击者i）重复使用网络钓鱼网页，因为制造完全全新的套装成本非平凡费用，ii）偏爱不需要私人信息并且比其他人更便宜的托管公司，iii）喜欢共享的托管服务成本效率和IV）有时使用良性域，IP地址和URL字符串模式来逃避现有的检测方法。受这些行为特征的启发，我们提出了一种基于网络的推理方法，以准确检测具有合法模式的网络钓鱼URL，即逃避稳定。在网络方法中，即使在逃避之后，网络钓鱼URL仍将被确定为网络师，除非同时逃避网络中的大多数邻居。我们的方法始终在各种实验测试中显示出更好的检测性能，而不是最先进的方法，例如，对于我们的方法，对于最佳功能方法而言，我们的方法为0.89，而0.84。

互联网流量分类在网络可见性，服务质量（QoS），入侵检测，经验质量（QOE）和交通趋势分析中起关键作用。为了提高隐私，完整性，机密性和协议混淆，当前的流量基于加密协议，例如SSL/TLS。随着文献中机器学习（ML）和深度学习（DL）模型的使用增加，由于缺乏标准化的框架，不同模型和方法之间的比较变得繁琐且困难。在本文中，我们提出了一个名为OSF-EIMTC的开源框架，该框架可以提供学习过程的完整管道。从著名的数据集到提取新的和知名的功能，它提供了著名的ML和DL模型（来自交通分类文献）的实现以及评估。这样的框架可以促进交通分类域的研究，从而使其更可重复，可重复，更易于执行，并可以更准确地比较知名和新颖的功能和新颖的功能和模型。作为框架评估的一部分，我们演示了可以使用多个数据集，模型和功能集的各种情况。我们展示了公开可用数据集的分析，并邀请社区使用OSF-EIMTC参与我们的公开挑战。

在线系统缺乏连续性的最常见原因之一是源自广泛流行的网络攻击，称为分布式拒绝服务（DDOS），在该网络攻击中，受感染设备（僵尸网络）网络被利用以通过淹没服务的计算能力。攻击者的命令。这种攻击是通过通过域名系统（DNS）技术通过域生成算法（DGAS）来进行的，这是一种隐身连接策略，但仍留下可疑的数据模式。为了发现这种威胁，已经取得了分析的进步。对于大多数人来说，他们发现机器学习（ML）是一种解决方案，可以在分析和分类大量数据方面非常有效。尽管表现出色，但ML模型在决策过程中具有一定程度的晦涩难懂。为了解决这个问题，ML的一个被称为可解释的ML的分支试图分解分类器的黑盒性质，并使它们可解释和可读。这项工作解决了在僵尸网络和DGA检测背景下可解释的ML的问题，我们最了解的是，当设计用于僵尸网络/DGA检测时，第一个具体分解了ML分类器的决定，因此提供了全球和本地。解释。

The recent success and proliferation of machine learning and deep learning have provided powerful tools, which are also utilized for encrypted traffic analysis, classification, and threat detection in computer networks. These methods, neural networks in particular, are often complex and require a huge corpus of training data. Therefore, this paper focuses on collecting a large up-to-date dataset with almost 200 fine-grained service labels and 140 million network flows extended with packet-level metadata. The number of flows is three orders of magnitude higher than in other existing public labeled datasets of encrypted traffic. The number of service labels, which is important to make the problem hard and realistic, is four times higher than in the public dataset with the most class labels. The published dataset is intended as a benchmark for identifying services in encrypted traffic. Service identification can be further extended with the task of "rejecting" unknown services, i.e., the traffic not seen during the training phase. Neural networks offer superior performance for tackling this more challenging problem. To showcase the dataset's usefulness, we implemented a neural network with a multi-modal architecture, which is the state-of-the-art approach, and achieved 97.04% classification accuracy and detected 91.94% of unknown services with 5% false positive rate.

安全字段中的数据标签通常是嘈杂，有限或偏向于人口子集的。结果，诸如准确性，精度和召回指标之类的普遍评估方法，或从标记数据集中计算的性能曲线的分析对机器学习（ML）模型的现实性能没有足够的信心。这减慢了该领域的机器学习的采用。在当今的行业中，我们依靠域专业知识和冗长的手动评估来建立此信心，然后再运送新的安全应用程序模型。在本文中，我们介绍了Firenze，这是一种使用域专业知识对ML模型的性能进行比较评估的新型框架，并编码为称为标记的可扩展功能。我们表明，在称为感兴趣的区域的样本中计算和组合的标记可以提供对其现实世界表演的强大估计。至关重要的是，我们使用统计假设检验来确保观察到的差异，因此从我们的框架中得出的结论 - 比仅噪声可观察到的更为突出。使用模拟和两个现实世界数据集用于恶意软件和域名声誉检测，我们说明了方法的有效性，局限性和见解。综上所述，我们建议Firenze作为研究人员，领域专家和企业主混合团队的快速，可解释和协作模型开发和评估的资源。

内幕威胁是昂贵的，难以检测，不幸的是发生在发生。寻求改善检测此类威胁，我们开发了新颖的技术，使我们能够提取强大的特征，产生高质量的图像编码，以及增加攻击向量，以获得更大的分类功率。结合，它们形成计算机视觉用户和实体行为分析，一种从地上设计的检测系统，以提高学术界的进步，并减轻防止工业先进模型的问题。该拟议的系统击败了学术界和工业中使用的最先进方法。

横向移动是指威胁参与者最初访问网络的方法，然后逐步通过上述网络收集有关资产的关键数据，直到达到其攻击的最终目标。随着企业网络的复杂性和相互联系的性质的增加，横向移动侵入变得更加复杂，并且需要同样复杂的检测机制，以便在企业量表下实时实时地进行此类威胁。在本文中，作者提出了一种使用用户行为分析和机器学习的新颖，轻巧的方法，用于横向运动检测。具体而言，本文介绍了一种用于网络域特异性特征工程的新方法，该方法可以以每个用户为基础识别横向运动行为。此外，工程功能还被用于开发两个监督的机器学习模型，用于横向运动识别，这些模型在文献中显然超过了先前在文献中看到的模型，同时在具有高级失衡的数据集上保持了稳健的性能。本文介绍的模型和方法也已与安全操作员合作设计，以相关和可解释，以最大程度地发挥影响力并最大程度地减少作为网络威胁检测工具包的价值。本文的基本目标是为近实时的横向运动检测提供一种计算高效的，特定于域的方法，该检测对企业规模的数据量和类别不平衡是可解释且健壮的。

Increasingly, malwares are becoming complex and they are spreading on networks targeting different infrastructures and personal-end devices to collect, modify, and destroy victim information. Malware behaviors are polymorphic, metamorphic, persistent, able to hide to bypass detectors and adapt to new environments, and even leverage machine learning techniques to better damage targets. Thus, it makes them difficult to analyze and detect with traditional endpoint detection and response, intrusion detection and prevention systems. To defend against malwares, recent work has proposed different techniques based on signatures and machine learning. In this paper, we propose to use an algebraic topological approach called topological-based data analysis (TDA) to efficiently analyze and detect complex malware patterns. Next, we compare the different TDA techniques (i.e., persistence homology, tomato, TDA Mapper) and existing techniques (i.e., PCA, UMAP, t-SNE) using different classifiers including random forest, decision tree, xgboost, and lightgbm. We also propose some recommendations to deploy the best-identified models for malware detection at scale. Results show that TDA Mapper (combined with PCA) is better for clustering and for identifying hidden relationships between malware clusters compared to PCA. Persistent diagrams are better to identify overlapping malware clusters with low execution time compared to UMAP and t-SNE. For malware detection, malware analysts can use Random Forest and Decision Tree with t-SNE and Persistent Diagram to achieve better performance and robustness on noised data.

SlockChain交易的时间方面使我们能够研究地址的行为并检测它是否参与了任何非法活动。但是，由于更改地址的概念（用于横幅重放攻击），时间方面不可直接适用于比特币区块链。在使用此类时间方面之前应该执行几个预处理步骤。我们有动力研究比特币交易网络，并使用诸如突发，吸引力和事件间时间等时间特征以及多个基于图形的属性，例如节点和聚类系数，以验证已知现有方法的应用性的适用性对于比特币区块区块的其他加密电机区块链。我们在不同的时间粒度上生成时间和非时间特征集并培训机器学习（ML）算法以验证最先进的方法。我们研究了数据集的不同时间粒度的地址的行为。我们确定在应用变更址群集之后，在比特币中，可以提取现有的时间特征，并且可以应用ML方法。结果的比较分析表明，在内部，出差和事件间的情况下，国内和比特币中的地址行为类似。此外，我们识别出3名嫌疑人，这些嫌疑人在不同的时间粒度上显示出恶意行为。这些嫌疑人并没有标记为比特币的恶意。

标准化的数据集和基准刺激了计算机视觉，自然语言处理，多模式和表格设置的创新。我们注意到，与其他经过良好研究的领域相比，欺诈检测有许多差异。差异包括高级失衡，多样化的特征类型，经常改变的欺诈模式以及问题的对抗性。由于这些差异，用于其他分类任务的建模方法可能对欺诈检测效果不佳。我们介绍了欺诈数据集基准（FDB），该基准是针对欺诈检测的公开可用数据集的汇编。 FDB包括各种与欺诈相关的任务，从识别欺诈性卡片 - 不出现交易，检测机器人攻击，对恶意URL进行分类，预测贷款的风险降至内容适度。来自FDB的基于Python的库为数据加载提供了一致的API，并具有标准化的训练和测试拆分。作为参考，我们还提供了FDB上不同建模方法的基线评估。考虑到各种研究和业务问题的自动化机器学习（AUTOML）的日益普及，我们使用了Automl框架进行基线评估。为了预防欺诈，拥有有限资源和缺乏ML专业知识的组织通常会聘请一个调查人员，使用区块列表和手动规则，所有这些规则效率低下且规模不佳。这些组织可以从易于在生产中部署并通过欺诈预防要求的汽车解决方案受益。我们希望FDB有助于开发适合不同欺诈模式操作数（MOS）的定制欺诈检测技术，以及改善汽车系统，这些系统可以很好地适用于基准中的所有数据集。

越来越多的东西数量（物联网）设备使得必须了解他们在网络安全方面所面临的真实威胁。虽然蜜罐已经历史上用作诱饵设备，以帮助研究人员/组织更好地了解网络的威胁动态及其影响，因此由于各种设备及其物理连接，IOT设备为此目的构成了独特的挑战。在这项工作中，通过在低互动蜜罐生态系统中观察真实世界攻击者的行为，我们（1）我们（1）介绍了创建多阶段多方面蜜罐生态系统的新方法，逐渐增加了蜜罐的互动的复杂性有了对手，（2）为相机设计和开发了一个低交互蜜罐，允许研究人员对攻击者的目标进行更深入的了解，并且（3）设计了一种创新的数据分析方法来识别对手的目标。我们的蜜罐已经活跃三年了。我们能够在每个阶段收集越来越复杂的攻击数据。此外，我们的数据分析指向蜜罐中捕获的绝大多数攻击活动共享显着的相似性，并且可以集聚集和分组，以更好地了解野外物联网攻击的目标，模式和趋势。

随着计算系统的不断增长的加工能力和大规模数据集的可用性的增加，机器学习算法导致了许多不同区域的重大突破。此开发影响了计算机安全性，在基于学习的安全系统中产生了一系列工作，例如用于恶意软件检测，漏洞发现和二进制代码分析。尽管潜力巨大，但安全性的机器学习易于细微缺陷，以破坏其性能，并使基于学习的系统可能不适合安全任务和实际部署。在本文中，我们用临界眼睛看这个问题。首先，我们确定基于学习的安全系统的设计，实现和评估中的常见缺陷。我们在过去的10年内，从顶层安全会议中进行了一项研究，确认这些陷阱在目前的安全文献中普遍存在。在一个实证分析中，我们进一步展示了个体陷阱如何导致不切实际的表现和解释，阻碍了对手的安全问题的理解。作为补救措施，我们提出了可行的建议，以支持研究人员在可能的情况下避免或减轻陷阱。此外，我们在将机器学习应用于安全性并提供进一步研究方向时确定打开问题。

信息安全团队通常会使用网络蜜饯来测量威胁格局以确保其网络。随着Honeypot开发的发展，当今的中型相互作用的蜜罐为安全团队和研究人员提供了一种部署这些主动防御工具的方式，这些工具几乎不需要维护各种协议。在这项工作中，我们在公共Internet上的五个不同协议上部署了此类蜜罐，并研究了我们观察到的攻击的意图和复杂性。然后，我们使用获得的信息来开发一种聚类方法，该方法可以识别攻击者行为中的相关性，以发现很可能由单个操作员控制的IP，这说明了将这些蜜罐用于数据收集的优势。

网络威胁情报（CTI）共享是减少攻击者和捍卫者之间信息不对称的重要活动。但是，由于数据共享和机密性之间的紧张关系，这项活动带来了挑战，这导致信息保留通常会导致自由骑士问题。因此，共享的信息仅代表冰山一角。当前的文献假设访问包含所有信息的集中数据库，但是由于上述张力，这并不总是可行的。这会导致不平衡或不完整的数据集，需要使用技术扩展它们。我们展示了这些技术如何导致结果和误导性能期望。我们提出了一个新颖的框架，用于从分布式数据中提取有关事件，漏洞和妥协指标的分布式数据，并与恶意软件信息共享平台（MISP）一起证明其在几种实际情况下的使用。提出和讨论了CTI共享的政策影响。拟议的系统依赖于隐私增强技术和联合处理的有效组合。这使组织能够控制其CTI，并最大程度地减少暴露或泄漏的风险，同时为共享的好处，更准确和代表性的结果以及更有效的预测性和预防性防御能力。

网络钓鱼袭击在互联网上继续成为一个重大威胁。先前的研究表明，可以确定网站是否是网络钓鱼，也可以更仔细地分析其URL。基于URL的方法的一个主要优点是它即使在浏览器中呈现网页之前，它也可以识别网络钓鱼网站，从而避免了其他潜在问题，例如加密和驾驶下载。但是，传统的基于URL的方法有它们的局限性。基于黑名单的方法容易出现零小时网络钓鱼攻击，基于先进的机器学习方法消耗高资源，而其他方法将URL发送到远程服务器，损害用户的隐私。在本文中，我们提出了一个分层的防护防御，PhishMatch，这是强大，准确，廉价和客户端的。我们设计一种节省空间高效的AHO-Corasick算法，用于精确串联匹配和基于N-GRAM的索引技术，用于匹配的近似字符串，以检测网络钓鱼URL中的各种弧度标准技术。为了减少误报，我们使用全球白名单和个性化用户白名单。我们还确定访问URL的上下文并使用该信息更准确地对输入URL进行分类。 PhishMatch的最后一个组成部分涉及机器学习模型和受控搜索引擎查询以对URL进行分类。发现针对Chrome浏览器开发的PhishMatch的原型插件，是快速轻便的。我们的评价表明，PhishMatch既有效又有效。

越来越多的工作已经认识到利用机器学习（ML）进步的重要性，以满足提取访问控制属性，策略挖掘，策略验证，访问决策等有效自动化的需求。在这项工作中，我们调查和总结了各种ML解决不同访问控制问题的方法。我们提出了ML模型在访问控制域中应用的新分类学。我们重点介绍当前的局限性和公开挑战，例如缺乏公共现实世界数据集，基于ML的访问控制系统的管理，了解黑盒ML模型的决策等，并列举未来的研究方向。

Network intrusion detection systems (NIDSs) play an important role in computer network security. There are several detection mechanisms where anomaly-based automated detection outperforms others significantly. Amid the sophistication and growing number of attacks, dealing with large amounts of data is a recognized issue in the development of anomaly-based NIDS. However, do current models meet the needs of today's networks in terms of required accuracy and dependability? In this research, we propose a new hybrid model that combines machine learning and deep learning to increase detection rates while securing dependability. Our proposed method ensures efficient pre-processing by combining SMOTE for data balancing and XGBoost for feature selection. We compared our developed method to various machine learning and deep learning algorithms to find a more efficient algorithm to implement in the pipeline. Furthermore, we chose the most effective model for network intrusion based on a set of benchmarked performance analysis criteria. Our method produces excellent results when tested on two datasets, KDDCUP'99 and CIC-MalMem-2022, with an accuracy of 99.99% and 100% for KDDCUP'99 and CIC-MalMem-2022, respectively, and no overfitting or Type-1 and Type-2 issues.

在当前的Internet-Internet-More（IoT）部署中，依赖于TCP协议的传统IP网络和IOT特定协议的组合可用于将数据从源传输到目标。因此，使用TCP SYN攻击的TCP特定攻击，例如使用TCP SYN攻击的分布式拒绝服务（DDOS）是攻击者可以在网络物理系统（CPS）上使用的最合理的工具之一。这可以通过从其IOT子系统启动攻击来完成，这里被称为“CPS-IOT”，其潜在的传播到位于雾中的不同服务器和CP的云基础架构。该研究比较了监督，无监督和半监控机器学习算法的有效性，用于检测CPS-IOT中的DDOS攻击，特别是在通过因特网到网络空间到网络空间的数据传输期间。所考虑的算法广泛地分为二：i）检测算法，其包括逻辑回归（LGR），K型和人工神经网络（ANN）。我们还研究了半监督混合学习模型的有效性，它使用无监督的K-means来标记数据，然后将输出馈送到攻击检测的监督学习模型。 II。）预测算法 - LGR，内核RIDGE回归（KRR）和支持向量回归（SVR），用于预测即将发生的攻击。进行实验试验并获得结果表明，杂交模型能够达到100％的精度，零误报;虽然所有预测模型都能够实现超过94％的攻击预测准确性。