加密协议已被广泛用于保护用户的隐私，并避免暴露私人信息。 Quic（快速UDP Internet连接），包括由Google（GQUIC）最初设计的版本和IETF（IQUIC）标准化的版本，作为传统HTTP的替代品，演示了它们独特的传输特性：基于UDP进行加密资源传输，加速网页呈现。然而，基于TCP的现有加密传输方案容易受到网站指纹（WFP）攻击，允许通过窃听传输信道通过窃听用户访问的网站。无论是GQUIC和IQUIC是否可以有效抵制此类攻击值得调查。在本文中，我们从交通分析的角度研究了GQQUIC，IQUIC和HTTPS对WFP攻击的脆弱性。广泛的实验表明，在早期的交通方案中，GQQUIC是最容易受到原始攻击的攻击，而lequic比https更容易受到影响，但三个协议的脆弱性在正常的完全交通方案中类似。特征传输分析表明，在正常的完整流量方案时，大多数功能在协议之间可在协议之间传输。然而，与潜在特征表示的定性分析相结合，我们发现在早期流量时，转移效率低下，作为GQQ，IQUIC和HTTPS显示出在早期交通上的交通分布的显着不同的变化。通过将一次性WFP攻击升级到多个WFP顶级攻击，我们发现攻击准确性分别达到95.4％和95.5％，只有40个数据包，只需使用简单的功能，而且只达到60.7％什么时候在https。我们还证明IQUIC的漏洞仅略微依赖于网络环境。

TOR（洋葱路由器）网络是一种广泛使用的开源匿名通信工具，滥用Tor使得很难监视在线犯罪的扩散，例如访问犯罪网站。大多数现有的TOR网络去匿名化的批准都在很大程度上依赖手动提取的功能，从而导致耗时和性能差。为了解决这些缺点，本文提出了一种神经表示方法，以根据分类算法识别网站指纹。我们构建了一个基于卷积神经网络（CNN）的新网站指纹攻击模型，并通过扩张和因果卷积，可以改善CNN的感知场并捕获输入数据的顺序特征。三个主流公共数据集的实验表明，与最先进的方法相比，提出的模型对网站指纹分类非常有效且有效，并将准确性提高了12.21％。

边缘计算是一个将数据处理服务转移到生成数据的网络边缘的范式。尽管这样的架构提供了更快的处理和响应，但除其他好处外，它还提出了必须解决的关键安全问题和挑战。本文讨论了从硬件层到系统层的边缘网络体系结构出现的安全威胁和漏洞。我们进一步讨论了此类网络中的隐私和法规合规性挑战。最后，我们认为需要一种整体方法来分析边缘网络安全姿势，该姿势必须考虑每一层的知识。

医学事物互联网（IOMT）允许使用传感器收集生理数据，然后将其传输到远程服务器，这使医生和卫生专业人员可以连续，永久地分析这些数据，并在早期阶段检测疾病。但是，使用无线通信传输数据将其暴露于网络攻击中，并且该数据的敏感和私人性质可能代表了攻击者的主要兴趣。在存储和计算能力有限的设备上使用传统的安全方法无效。另一方面，使用机器学习进行入侵检测可以对IOMT系统的要求提供适应性的安全响应。在这种情况下，对基于机器学习（ML）的入侵检测系统如何解决IOMT系统中的安全性和隐私问题的全面调查。为此，提供了IOMT的通用三层体系结构以及IOMT系统的安全要求。然后，出现了可能影响IOMT安全性的各种威胁，并确定基于ML的每个解决方案中使用的优势，缺点，方法和数据集。最后，讨论了在IOMT的每一层中应用ML的一些挑战和局限性，这些挑战和局限性可以用作未来的研究方向。

互联网流量分类在网络可见性，服务质量（QoS），入侵检测，经验质量（QOE）和交通趋势分析中起关键作用。为了提高隐私，完整性，机密性和协议混淆，当前的流量基于加密协议，例如SSL/TLS。随着文献中机器学习（ML）和深度学习（DL）模型的使用增加，由于缺乏标准化的框架，不同模型和方法之间的比较变得繁琐且困难。在本文中，我们提出了一个名为OSF-EIMTC的开源框架，该框架可以提供学习过程的完整管道。从著名的数据集到提取新的和知名的功能，它提供了著名的ML和DL模型（来自交通分类文献）的实现以及评估。这样的框架可以促进交通分类域的研究，从而使其更可重复，可重复，更易于执行，并可以更准确地比较知名和新颖的功能和新颖的功能和模型。作为框架评估的一部分，我们演示了可以使用多个数据集，模型和功能集的各种情况。我们展示了公开可用数据集的分析，并邀请社区使用OSF-EIMTC参与我们的公开挑战。

互联机器人在行业4.0中起关键作用，为许多工业工作流提供了自动化和更高的效率。不幸的是，这些机器人可以将有关这些操作工作流程的敏感信息泄漏到远程对手。尽管存在在此类设置中使用端到端加密进行数据传输的任务，但被动对手完全有可能进行指纹和重建整个工作流程 - 建立对设施运作方式的理解。在本文中，我们研究了远程攻击者是否可以准确地指纹机器人运动并最终重建操作工作流程。使用神经网络方法进行交通分析，我们发现可以预测精度约为60％的TLS加密运动，在现实的网络条件下提高到近乎完美的精度。此外，我们还发现攻击者可以以类似的成功重建仓库工作流。最终，简单地采用最佳网络安全实践显然不足以阻止（被动）对手。

网络威胁情报（CTI）共享是减少攻击者和捍卫者之间信息不对称的重要活动。但是，由于数据共享和机密性之间的紧张关系，这项活动带来了挑战，这导致信息保留通常会导致自由骑士问题。因此，共享的信息仅代表冰山一角。当前的文献假设访问包含所有信息的集中数据库，但是由于上述张力，这并不总是可行的。这会导致不平衡或不完整的数据集，需要使用技术扩展它们。我们展示了这些技术如何导致结果和误导性能期望。我们提出了一个新颖的框架，用于从分布式数据中提取有关事件，漏洞和妥协指标的分布式数据，并与恶意软件信息共享平台（MISP）一起证明其在几种实际情况下的使用。提出和讨论了CTI共享的政策影响。拟议的系统依赖于隐私增强技术和联合处理的有效组合。这使组织能够控制其CTI，并最大程度地减少暴露或泄漏的风险，同时为共享的好处，更准确和代表性的结果以及更有效的预测性和预防性防御能力。

互联网连接系统的指数增长产生了许多挑战，例如频谱短缺问题，需要有效的频谱共享（SS）解决方案。复杂和动态的SS系统可以接触不同的潜在安全性和隐私问题，需要保护机制是自适应，可靠和可扩展的。基于机器学习（ML）的方法经常提议解决这些问题。在本文中，我们对最近的基于ML的SS方法，最关键的安全问题和相应的防御机制提供了全面的调查。特别是，我们详细说明了用于提高SS通信系统的性能的最先进的方法，包括基于ML基于ML的基于的数据库辅助SS网络，ML基于基于的数据库辅助SS网络，包括基于ML的数据库辅助的SS网络，基于ML的LTE-U网络，基于ML的环境反向散射网络和其他基于ML的SS解决方案。我们还从物理层和基于ML算法的相应防御策略的安全问题，包括主要用户仿真（PUE）攻击，频谱感测数据伪造（SSDF）攻击，干扰攻击，窃听攻击和隐私问题。最后，还给出了对ML基于ML的开放挑战的广泛讨论。这种全面的审查旨在为探索新出现的ML的潜力提供越来越复杂的SS及其安全问题，提供基础和促进未来的研究。

命令和控制（C2）通信是任何结构化网络攻击的关键组成部分。因此，安全操作积极尝试检测其网络中的这种通信。这为合法的申请人构成了一个问题，这些问题试图保持未被发现，因为通常使用的pentesting工具（例如Metasploit）生成了恒定的流量模式，这些流量模式易于与常规的网络流量区分开。在本文中，我们从Metasploit的C2流量中的这些可识别的模式开始，并表明基于机器学习的检测器即使加密也能够以很高的精度检测到这种流量的存在。然后，我们概述并对元跨框架进行了一组修改，以降低该分类器的检测率。为了评估这些修改的性能，我们使用两个威胁模型，对这些修改的认识越来越多。我们查看逃避性能以及修改的字节数和运行时开销。我们的结果表明，在第二个增强的意识威胁模型中，框架侧交通修改比仅有效载荷侧的修改（50％）获得更好的检测回避率（90％）。我们还表明，尽管修改使用的TLS有效载荷比原始时间高3倍，但运行时没有显着更改，并且字节总数（包括TLS有效载荷）减少。

The recent success and proliferation of machine learning and deep learning have provided powerful tools, which are also utilized for encrypted traffic analysis, classification, and threat detection in computer networks. These methods, neural networks in particular, are often complex and require a huge corpus of training data. Therefore, this paper focuses on collecting a large up-to-date dataset with almost 200 fine-grained service labels and 140 million network flows extended with packet-level metadata. The number of flows is three orders of magnitude higher than in other existing public labeled datasets of encrypted traffic. The number of service labels, which is important to make the problem hard and realistic, is four times higher than in the public dataset with the most class labels. The published dataset is intended as a benchmark for identifying services in encrypted traffic. Service identification can be further extended with the task of "rejecting" unknown services, i.e., the traffic not seen during the training phase. Neural networks offer superior performance for tackling this more challenging problem. To showcase the dataset's usefulness, we implemented a neural network with a multi-modal architecture, which is the state-of-the-art approach, and achieved 97.04% classification accuracy and detected 91.94% of unknown services with 5% false positive rate.

信息安全团队通常会使用网络蜜饯来测量威胁格局以确保其网络。随着Honeypot开发的发展，当今的中型相互作用的蜜罐为安全团队和研究人员提供了一种部署这些主动防御工具的方式，这些工具几乎不需要维护各种协议。在这项工作中，我们在公共Internet上的五个不同协议上部署了此类蜜罐，并研究了我们观察到的攻击的意图和复杂性。然后，我们使用获得的信息来开发一种聚类方法，该方法可以识别攻击者行为中的相关性，以发现很可能由单个操作员控制的IP，这说明了将这些蜜罐用于数据收集的优势。

Network intrusion detection systems (NIDS) to detect malicious attacks continues to meet challenges. NIDS are vulnerable to auto-generated port scan infiltration attempts and NIDS are often developed offline, resulting in a time lag to prevent the spread of infiltration to other parts of a network. To address these challenges, we use hypergraphs to capture evolving patterns of port scan attacks via the set of internet protocol addresses and destination ports, thereby deriving a set of hypergraph-based metrics to train a robust and resilient ensemble machine learning (ML) NIDS that effectively monitors and detects port scanning activities and adversarial intrusions while evolving intelligently in real-time. Through the combination of (1) intrusion examples, (2) NIDS update rules, (3) attack threshold choices to trigger NIDS retraining requests, and (4) production environment with no prior knowledge of the nature of network traffic 40 scenarios were auto-generated to evaluate the ML ensemble NIDS comprising three tree-based models. Results show that under the model settings of an Update-ALL-NIDS rule (namely, retrain and update all the three models upon the same NIDS retraining request) the proposed ML ensemble NIDS produced the best results with nearly 100% detection performance throughout the simulation, exhibiting robustness in the complex dynamics of the simulated cyber-security scenario.

随着深度神经网络（DNNS）的进步在许多关键应用中表现出前所未有的性能水平，它们的攻击脆弱性仍然是一个悬而未决的问题。我们考虑在测试时间进行逃避攻击，以防止在受约束的环境中进行深入学习，其中需要满足特征之间的依赖性。这些情况可能自然出现在表格数据中，也可能是特定应用程序域中功能工程的结果，例如网络安全中的威胁检测。我们提出了一个普通的基于迭代梯度的框架，称为围栏，用于制定逃避攻击，考虑到约束域和应用要求的细节。我们将其应用于针对两个网络安全应用培训的前馈神经网络：网络流量僵尸网络分类和恶意域分类，以生成可行的对抗性示例。我们广泛评估了攻击的成功率和绩效，比较它们对几个基线的改进，并分析影响攻击成功率的因素，包括优化目标和数据失衡。我们表明，通过最少的努力（例如，生成12个其他网络连接），攻击者可以将模型的预测从恶意类更改为良性并逃避分类器。我们表明，在具有更高失衡的数据集上训练的模型更容易受到我们的围栏攻击。最后，我们证明了在受限领域进行对抗训练的潜力，以提高针对这些逃避攻击的模型弹性。

随着物联网设备越来越多地集成到重要网络，对安全互联网（IoT）设备的需求正在增长。许多系统依靠这些设备保持可用并提供可靠的服务。拒绝对物联网设备的服务攻击是一个真正的威胁，因为这些低功率设备非常容易受到拒绝服务攻击。启用机器学习的网络入侵检测系统可以有效地识别新威胁，但是它们需要大量数据才能正常工作。有许多网络流量数据集，但很少有人关注物联网网络流量。在物联网网络数据集中，缺乏coap拒绝服务数据。我们提出了一个涵盖此差距的新型数据集。我们通过从真正的COAP拒绝服务攻击中收集网络流量来开发新数据集，并在多个不同的机器学习分类器上比较数据。我们证明数据集对许多分类器有效。

目前，数据赢得了用户生成的数据和数据处理系统之间的大鼠竞赛。机器学习的使用增加导致处理需求的进一步增加，而数据量不断增长。为了赢得比赛，需要将机器学习应用于通过网络的数据。数据的网络分类可以减少服务器上的负载，减少响应时间并提高可伸缩性。在本文中，我们使用现成的网络设备以混合方式介绍了IISY，以混合方式实施机器学习分类模型。 IISY针对网络内分类的三个主要挑战：（i）将分类模型映射到网络设备（ii）提取所需功能以及（iii）解决资源和功能约束。 IISY支持一系列传统和集合机器学习模型，独立于开关管道中的阶段数量扩展。此外，我们证明了IISY用于混合分类的使用，其中在一个开关上实现了一个小模型，在后端的大型模型上实现了一个小模型，从而实现了接近最佳的分类结果，同时大大降低了服务器上的延迟和负载。

设备识别是保护IoT设备网络的一种方法，该设备随后可以从网络中隔离被识别为可疑的设备。在这项研究中，我们提出了一种基于机器学习的方法IotDevid，该方法通过其网络数据包的特征来识别设备。通过使用严格的功能分析和选择过程，我们的研究为建模设备行为提供了可推广和现实的方法，从而在两个公共数据集中实现了高预测精度。该模型的基础功能集显示出比用于设备识别的现有功能集更具预测性，并且显示出在功能选择过程中概括为看不见的数据。与大多数现有的物联网设备识别方法不同，IotDevid能够使用非IP和低能协议来检测设备。

网络钓鱼袭击在互联网上继续成为一个重大威胁。先前的研究表明，可以确定网站是否是网络钓鱼，也可以更仔细地分析其URL。基于URL的方法的一个主要优点是它即使在浏览器中呈现网页之前，它也可以识别网络钓鱼网站，从而避免了其他潜在问题，例如加密和驾驶下载。但是，传统的基于URL的方法有它们的局限性。基于黑名单的方法容易出现零小时网络钓鱼攻击，基于先进的机器学习方法消耗高资源，而其他方法将URL发送到远程服务器，损害用户的隐私。在本文中，我们提出了一个分层的防护防御，PhishMatch，这是强大，准确，廉价和客户端的。我们设计一种节省空间高效的AHO-Corasick算法，用于精确串联匹配和基于N-GRAM的索引技术，用于匹配的近似字符串，以检测网络钓鱼URL中的各种弧度标准技术。为了减少误报，我们使用全球白名单和个性化用户白名单。我们还确定访问URL的上下文并使用该信息更准确地对输入URL进行分类。 PhishMatch的最后一个组成部分涉及机器学习模型和受控搜索引擎查询以对URL进行分类。发现针对Chrome浏览器开发的PhishMatch的原型插件，是快速轻便的。我们的评价表明，PhishMatch既有效又有效。

社交媒体，职业运动和视频游戏正在推动实时视频流的快速增长，在抽搐和YouTube Live等平台上。自动流媒体经验非常易于短时间级网络拥塞，因为客户端播放缓冲区通常不超过几秒钟。不幸的是，识别这些流和测量他们的QoE进行网络管理是具有挑战性的，因为内容提供商在很大程度上使用相同的交付基础设施来用于实时和视频点播（VOD）流，并且不能提供数据包检查技术（包括SNI / DNS查询监控）始终区分两者。在本文中，我们设计，构建和部署康复：基于网络级行为特征的实时视频检测和QoE测量的机器学习方法。我们的贡献是四倍：（1）我们从抽搐和YouTube分析约23,000个视频流，并在其流量配置文件中识别区分实时和按需流的关键功能。我们将我们的交通迹线释放为公众的开放数据; （2）我们开发基于LSTM的二进制分类器模型，该模型将Live从按需流实时区分，在提供商的高度超过95％的准确度; （3）我们开发了一种方法，估计实时流动流动的QoE度量，分辨率和缓冲率分别分别为93％和90％的总体精度; （4）最后，我们将我们的解决方案原型，将其培训在实验室中，并在服务于7,000多名订阅者的Live ISP网络中部署它。我们的方法提供了ISP，具有细粒度的可视性，进入实时视频流，使它们能够测量和改善用户体验。

随着数据生成越来越多地在没有连接连接的设备上进行，因此与机器学习（ML）相关的流量将在无线网络中无处不在。许多研究表明，传统的无线协议高效或不可持续以支持ML，这创造了对新的无线通信方法的需求。在这项调查中，我们对最先进的无线方法进行了详尽的审查，这些方法是专门设计用于支持分布式数据集的ML服务的。当前，文献中有两个明确的主题，模拟的无线计算和针对ML优化的数字无线电资源管理。这项调查对这些方法进行了全面的介绍，回顾了最重要的作品，突出了开放问题并讨论了应用程序方案。

在当前的Internet-Internet-More（IoT）部署中，依赖于TCP协议的传统IP网络和IOT特定协议的组合可用于将数据从源传输到目标。因此，使用TCP SYN攻击的TCP特定攻击，例如使用TCP SYN攻击的分布式拒绝服务（DDOS）是攻击者可以在网络物理系统（CPS）上使用的最合理的工具之一。这可以通过从其IOT子系统启动攻击来完成，这里被称为“CPS-IOT”，其潜在的传播到位于雾中的不同服务器和CP的云基础架构。该研究比较了监督，无监督和半监控机器学习算法的有效性，用于检测CPS-IOT中的DDOS攻击，特别是在通过因特网到网络空间到网络空间的数据传输期间。所考虑的算法广泛地分为二：i）检测算法，其包括逻辑回归（LGR），K型和人工神经网络（ANN）。我们还研究了半监督混合学习模型的有效性，它使用无监督的K-means来标记数据，然后将输出馈送到攻击检测的监督学习模型。 II。）预测算法 - LGR，内核RIDGE回归（KRR）和支持向量回归（SVR），用于预测即将发生的攻击。进行实验试验并获得结果表明，杂交模型能够达到100％的精度，零误报;虽然所有预测模型都能够实现超过94％的攻击预测准确性。