检测零日（新颖）攻击的能力在网络安全行业中变得至关重要。由于不断发展的攻击签名，现有的网络入侵检测系统通常无法检测到这些威胁。该项目旨在通过利用进入私人网络之前捕获的网络流量来解决检测零日DDO（分布式拒绝服务）攻击的任务。现代特征提取技术与神经网络结合使用，以确定网络数据包是良性还是恶意。

A large number of network security breaches in IoT networks have demonstrated the unreliability of current Network Intrusion Detection Systems (NIDSs). Consequently, network interruptions and loss of sensitive data have occurred, which led to an active research area for improving NIDS technologies. In an analysis of related works, it was observed that most researchers aim to obtain better classification results by using a set of untried combinations of Feature Reduction (FR) and Machine Learning (ML) techniques on NIDS datasets. However, these datasets are different in feature sets, attack types, and network design. Therefore, this paper aims to discover whether these techniques can be generalised across various datasets. Six ML models are utilised: a Deep Feed Forward (DFF), Convolutional Neural Network (CNN), Recurrent Neural Network (RNN), Decision Tree (DT), Logistic Regression (LR), and Naive Bayes (NB). The accuracy of three Feature Extraction (FE) algorithms; Principal Component Analysis (PCA), Auto-encoder (AE), and Linear Discriminant Analysis (LDA), are evaluated using three benchmark datasets: UNSW-NB15, ToN-IoT and CSE-CIC-IDS2018. Although PCA and AE algorithms have been widely used, the determination of their optimal number of extracted dimensions has been overlooked. The results indicate that no clear FE method or ML model can achieve the best scores for all datasets. The optimal number of extracted dimensions has been identified for each dataset, and LDA degrades the performance of the ML models on two datasets. The variance is used to analyse the extracted dimensions of LDA and PCA. Finally, this paper concludes that the choice of datasets significantly alters the performance of the applied techniques. We believe that a universal (benchmark) feature set is needed to facilitate further advancement and progress of research in this field.

互联网流量分类在网络可见性，服务质量（QoS），入侵检测，经验质量（QOE）和交通趋势分析中起关键作用。为了提高隐私，完整性，机密性和协议混淆，当前的流量基于加密协议，例如SSL/TLS。随着文献中机器学习（ML）和深度学习（DL）模型的使用增加，由于缺乏标准化的框架，不同模型和方法之间的比较变得繁琐且困难。在本文中，我们提出了一个名为OSF-EIMTC的开源框架，该框架可以提供学习过程的完整管道。从著名的数据集到提取新的和知名的功能，它提供了著名的ML和DL模型（来自交通分类文献）的实现以及评估。这样的框架可以促进交通分类域的研究，从而使其更可重复，可重复，更易于执行，并可以更准确地比较知名和新颖的功能和新颖的功能和模型。作为框架评估的一部分，我们演示了可以使用多个数据集，模型和功能集的各种情况。我们展示了公开可用数据集的分析，并邀请社区使用OSF-EIMTC参与我们的公开挑战。

连接设备的快速增长导致了新型网络安全威胁的扩散，称为零日攻击。传统的基于行为的ID依靠DNN来检测这些攻击。用于训练DNN的数据集的质量在检测性能中起着至关重要的作用，而代表性不足的样品导致性能不佳。在本文中，我们开发和评估DBN在连接设备网络中检测网络攻击方面的性能。CICIDS2017数据集用于训练和评估我们提出的DBN方法的性能。应用和评估了几种类平衡技术。最后，我们将方法与常规的MLP模型和现有的最新方法进行比较。我们提出的DBN方法显示出竞争性和有希望的结果，并且在培训数据集中攻击不足的攻击中的检测方面有显着改善。

随着物联网设备越来越多地集成到重要网络，对安全互联网（IoT）设备的需求正在增长。许多系统依靠这些设备保持可用并提供可靠的服务。拒绝对物联网设备的服务攻击是一个真正的威胁，因为这些低功率设备非常容易受到拒绝服务攻击。启用机器学习的网络入侵检测系统可以有效地识别新威胁，但是它们需要大量数据才能正常工作。有许多网络流量数据集，但很少有人关注物联网网络流量。在物联网网络数据集中，缺乏coap拒绝服务数据。我们提出了一个涵盖此差距的新型数据集。我们通过从真正的COAP拒绝服务攻击中收集网络流量来开发新数据集，并在多个不同的机器学习分类器上比较数据。我们证明数据集对许多分类器有效。

在当前的Internet-Internet-More（IoT）部署中，依赖于TCP协议的传统IP网络和IOT特定协议的组合可用于将数据从源传输到目标。因此，使用TCP SYN攻击的TCP特定攻击，例如使用TCP SYN攻击的分布式拒绝服务（DDOS）是攻击者可以在网络物理系统（CPS）上使用的最合理的工具之一。这可以通过从其IOT子系统启动攻击来完成，这里被称为“CPS-IOT”，其潜在的传播到位于雾中的不同服务器和CP的云基础架构。该研究比较了监督，无监督和半监控机器学习算法的有效性，用于检测CPS-IOT中的DDOS攻击，特别是在通过因特网到网络空间到网络空间的数据传输期间。所考虑的算法广泛地分为二：i）检测算法，其包括逻辑回归（LGR），K型和人工神经网络（ANN）。我们还研究了半监督混合学习模型的有效性，它使用无监督的K-means来标记数据，然后将输出馈送到攻击检测的监督学习模型。 II。）预测算法 - LGR，内核RIDGE回归（KRR）和支持向量回归（SVR），用于预测即将发生的攻击。进行实验试验并获得结果表明，杂交模型能够达到100％的精度，零误报;虽然所有预测模型都能够实现超过94％的攻击预测准确性。

内幕威胁是昂贵的，难以检测，不幸的是发生在发生。寻求改善检测此类威胁，我们开发了新颖的技术，使我们能够提取强大的特征，产生高质量的图像编码，以及增加攻击向量，以获得更大的分类功率。结合，它们形成计算机视觉用户和实体行为分析，一种从地上设计的检测系统，以提高学术界的进步，并减轻防止工业先进模型的问题。该拟议的系统击败了学术界和工业中使用的最先进方法。

随着信息技术在所有生命领域中的日益增长的使用，黑客攻击变得比以往任何时候都变得更加有效。同样，随着技术的发展，攻击数字每隔几个月就会成倍增长，并变得更加复杂，因此传统ID效率低下。本文提出了一种解决方案，不仅检测具有更高检测率的新威胁和比已经使用的ID更低的假阳性，而且还可以检测集体和上下文安全攻击。我们通过使用网络聊天机器人（一个深度的复发神经网络：apache Spark框架上的长期短期内存（LSTM））来实现这些结果异常。我们建议合并语言处理，上下文分析，分布式深度学习，大数据，流量分析的异常检测的概念。我们提出了一个模型，该模型描述了网络在其上下文中从数百万数据包中的序列中抽象正常行为，并将它们实时分析以检测点，集体和上下文异常。实验是在MAWI数据集上进行的，它显示出比签名ID的检测率更好，而且比传统异常ID更好。该实验显示较低的假阳性，较高的检测率和更好的点异常检测。至于有上下文和集体异常检测的证明，我们讨论了我们的主张和假设背后的原因。但是，由于硬件限制，该实验是在数据集的随机小子集上进行的，因此我们分享了实验和未来的愿景思想，因为我们希望将来的其他感兴趣的研究人员将来能够充分证明，这些研究人员拥有比我们的硬件基础架构更好的研究人员。

随着深度神经网络（DNNS）的进步在许多关键应用中表现出前所未有的性能水平，它们的攻击脆弱性仍然是一个悬而未决的问题。我们考虑在测试时间进行逃避攻击，以防止在受约束的环境中进行深入学习，其中需要满足特征之间的依赖性。这些情况可能自然出现在表格数据中，也可能是特定应用程序域中功能工程的结果，例如网络安全中的威胁检测。我们提出了一个普通的基于迭代梯度的框架，称为围栏，用于制定逃避攻击，考虑到约束域和应用要求的细节。我们将其应用于针对两个网络安全应用培训的前馈神经网络：网络流量僵尸网络分类和恶意域分类，以生成可行的对抗性示例。我们广泛评估了攻击的成功率和绩效，比较它们对几个基线的改进，并分析影响攻击成功率的因素，包括优化目标和数据失衡。我们表明，通过最少的努力（例如，生成12个其他网络连接），攻击者可以将模型的预测从恶意类更改为良性并逃避分类器。我们表明，在具有更高失衡的数据集上训练的模型更容易受到我们的围栏攻击。最后，我们证明了在受限领域进行对抗训练的潜力，以提高针对这些逃避攻击的模型弹性。

机器学习（ML）代表了当前和未来信息系统的关键技术，许多域已经利用了ML的功能。但是，网络安全中ML的部署仍处于早期阶段，揭示了研究和实践之间的显着差异。这种差异在当前的最新目的中具有其根本原因，该原因不允许识别ML在网络安全中的作用。除非广泛的受众理解其利弊，否则ML的全部潜力将永远不会释放。本文是对ML在整个网络安全领域中的作用的首次尝试 - 对任何对此主题感兴趣的潜在读者。我们强调了ML在人类驱动的检测方法方面的优势，以及ML在网络安全方面可以解决的其他任务。此外，我们阐明了影响网络安全部署实际ML部署的各种固有问题。最后，我们介绍了各种利益相关者如何为网络安全中ML的未来发展做出贡献，这对于该领域的进一步进步至关重要。我们的贡献补充了两项实际案例研究，这些案例研究描述了ML作为对网络威胁的辩护的工业应用。

Network traffic classification is the basis of many network security applications and has attracted enough attention in the field of cyberspace security. Existing network traffic classification based on convolutional neural networks (CNNs) often emphasizes local patterns of traffic data while ignoring global information associations. In this paper, we propose a MLP-Mixer based multi-view multi-label neural network for network traffic classification. Compared with the existing CNN-based methods, our method adopts the MLP-Mixer structure, which is more in line with the structure of the packet than the conventional convolution operation. In our method, the packet is divided into the packet header and the packet body, together with the flow features of the packet as input from different views. We utilize a multi-label setting to learn different scenarios simultaneously to improve the classification performance by exploiting the correlations between different scenarios. Taking advantage of the above characteristics, we propose an end-to-end network traffic classification method. We conduct experiments on three public datasets, and the experimental results show that our method can achieve superior performance.

Darknets的匿名性质通常用于非法活动。先前的研究已经采用了机器学习和深度学习技术来自动对暗网流量的检测，以阻止这些犯罪活动。这项研究旨在通过评估支持向量机（SVM），随机森林（RF），卷积神经网络（CNN）和辅助分类器生成对抗网络（AC-GAN）来改善暗网流量检测申请类型。我们发现，我们的RF模型优于与CIC-Darknet2020数据集的先前工作中使用的最新机器学习技术。为了评估RF分类器的鲁棒性，我们混淆选择应用程序类型类，以模拟现实的对抗攻击方案。我们证明，我们表现最好的分类器可能会被这种攻击击败，我们考虑处理这种对抗性攻击的方法。

Spear Phishing is a harmful cyber-attack facing business and individuals worldwide. Considerable research has been conducted recently into the use of Machine Learning (ML) techniques to detect spear-phishing emails. ML-based solutions may suffer from zero-day attacks; unseen attacks unaccounted for in the training data. As new attacks emerge, classifiers trained on older data are unable to detect these new varieties of attacks resulting in increasingly inaccurate predictions. Spear Phishing detection also faces scalability challenges due to the growth of the required features which is proportional to the number of the senders within a receiver mailbox. This differs from traditional phishing attacks which typically perform only a binary classification between phishing and benign emails. Therefore, we devise a possible solution to these problems, named RAIDER: Reinforcement AIded Spear Phishing DEtectoR. A reinforcement-learning based feature evaluation system that can automatically find the optimum features for detecting different types of attacks. By leveraging a reward and penalty system, RAIDER allows for autonomous features selection. RAIDER also keeps the number of features to a minimum by selecting only the significant features to represent phishing emails and detect spear-phishing attacks. After extensive evaluation of RAIDER over 11,000 emails and across 3 attack scenarios, our results suggest that using reinforcement learning to automatically identify the significant features could reduce the dimensions of the required features by 55% in comparison to existing ML-based systems. It also improves the accuracy of detecting spoofing attacks by 4% from 90% to 94%. In addition, RAIDER demonstrates reasonable detection accuracy even against a sophisticated attack named Known Sender in which spear-phishing emails greatly resemble those of the impersonated sender.

医学事物互联网（IOMT）允许使用传感器收集生理数据，然后将其传输到远程服务器，这使医生和卫生专业人员可以连续，永久地分析这些数据，并在早期阶段检测疾病。但是，使用无线通信传输数据将其暴露于网络攻击中，并且该数据的敏感和私人性质可能代表了攻击者的主要兴趣。在存储和计算能力有限的设备上使用传统的安全方法无效。另一方面，使用机器学习进行入侵检测可以对IOMT系统的要求提供适应性的安全响应。在这种情况下，对基于机器学习（ML）的入侵检测系统如何解决IOMT系统中的安全性和隐私问题的全面调查。为此，提供了IOMT的通用三层体系结构以及IOMT系统的安全要求。然后，出现了可能影响IOMT安全性的各种威胁，并确定基于ML的每个解决方案中使用的优势，缺点，方法和数据集。最后，讨论了在IOMT的每一层中应用ML的一些挑战和局限性，这些挑战和局限性可以用作未来的研究方向。

社交媒体，职业运动和视频游戏正在推动实时视频流的快速增长，在抽搐和YouTube Live等平台上。自动流媒体经验非常易于短时间级网络拥塞，因为客户端播放缓冲区通常不超过几秒钟。不幸的是，识别这些流和测量他们的QoE进行网络管理是具有挑战性的，因为内容提供商在很大程度上使用相同的交付基础设施来用于实时和视频点播（VOD）流，并且不能提供数据包检查技术（包括SNI / DNS查询监控）始终区分两者。在本文中，我们设计，构建和部署康复：基于网络级行为特征的实时视频检测和QoE测量的机器学习方法。我们的贡献是四倍：（1）我们从抽搐和YouTube分析约23,000个视频流，并在其流量配置文件中识别区分实时和按需流的关键功能。我们将我们的交通迹线释放为公众的开放数据; （2）我们开发基于LSTM的二进制分类器模型，该模型将Live从按需流实时区分，在提供商的高度超过95％的准确度; （3）我们开发了一种方法，估计实时流动流动的QoE度量，分辨率和缓冲率分别分别为93％和90％的总体精度; （4）最后，我们将我们的解决方案原型，将其培训在实验室中，并在服务于7,000多名订阅者的Live ISP网络中部署它。我们的方法提供了ISP，具有细粒度的可视性，进入实时视频流，使它们能够测量和改善用户体验。

数据集对于将AI算法应用于网络物理系统（CPS）安全性至关重要。由于实际CPS数据集的稀缺性，研究人员选择使用真实或虚拟化测试台生成自己的数据集。但是，与其他AI域不同，CPS是一个复杂的系统，具有许多确定其行为的接口。仅包含传感器测量和网络流量集合的数据集可能不足以开发弹性的AI防御或进攻剂。在本文中，我们研究了捕获系统行为和交互所需的CPS安全数据集的\ emph {Elements}，并提出了一个数据集体系结构，该架构有可能增强AI算法在保护网络物理系统方面的性能。该框架包括数据集元素，攻击表示和所需的数据集功能。我们将现有数据集与建议的体系结构进行比较，以识别当前局限性，并使用TestBeds讨论CPS数据集生成的未来。

在本文中，我们介绍了四种突出的恶意软件检测工具的科学评估，以帮助组织提出两个主要问题：基于ML的工具在多大程度上对以前和从未见过的文件进行了准确的分类？是否值得购买网络级恶意软件检测器？为了识别弱点，我们针对各种文件类型的总计3,536个文件（2,554或72 \％恶意，982或28 \％良性）测试了每个工具，包括数百个恶意零日，polyglots和apt-style-style style文件，在多个协议上交付。我们介绍了有关检测时间和准确性的统计结果，请考虑互补分析（一起使用多个工具），并提供了近期成本效益评估程序的两种新颖应用。尽管基于ML的工具在检测零日文件和可执行文件方面更有效，但基于签名的工具仍然是总体上更好的选择。两种基于网络的工具都与任何一种主机工具配对时都可以进行大量（模拟）节省，但两者在HTTP或SMTP以外的协议上都显示出较差的检测率。我们的结果表明，所有四个工具都具有几乎完美的精度但令人震惊的召回率，尤其是在可执行文件和Office文件以外的文件类型上 - 未检测到37％的恶意软件，包括所有Polyglot文件。给出了研究人员的优先事项，并给出了最终用户的外卖。

本文介绍了基于图形神经网络（GNN）的新的网络入侵检测系统（NID）。 GNN是深度神经网络的一个相对较新的子领域，可以利用基于图形数据的固有结构。 NIDS的培训和评估数据通常表示为流记录，其可以自然地以图形格式表示。这建立了探索网络入侵检测GNN的潜在和动力，这是本文的重点。基于机器的基于机器的NIDS的目前的研究只考虑网络流动，而不是考虑其互连的模式。这是检测复杂的物联网网络攻击的关键限制，例如IOT设备推出的DDOS和分布式端口扫描攻击。在本文中，我们提出了一种克服了这种限制的GNN方法，并允许捕获图形的边缘特征以及IOT网络中网络异常检测的拓扑信息。据我们所知，我们的方法是第一次成功，实用，广泛地评估应用图形神经网络对使用流基于流的数据的网络入侵检测问题的方法。我们在最近的四个NIDS基准数据集上进行了广泛的实验评估，表明我们的方法在关键分类指标方面占据了最先进的，这证明了网络入侵检测中GNN的潜力，并提供了进一步研究的动机。

设备识别是保护IoT设备网络的一种方法，该设备随后可以从网络中隔离被识别为可疑的设备。在这项研究中，我们提出了一种基于机器学习的方法IotDevid，该方法通过其网络数据包的特征来识别设备。通过使用严格的功能分析和选择过程，我们的研究为建模设备行为提供了可推广和现实的方法，从而在两个公共数据集中实现了高预测精度。该模型的基础功能集显示出比用于设备识别的现有功能集更具预测性，并且显示出在功能选择过程中概括为看不见的数据。与大多数现有的物联网设备识别方法不同，IotDevid能够使用非IP和低能协议来检测设备。

The recent success and proliferation of machine learning and deep learning have provided powerful tools, which are also utilized for encrypted traffic analysis, classification, and threat detection in computer networks. These methods, neural networks in particular, are often complex and require a huge corpus of training data. Therefore, this paper focuses on collecting a large up-to-date dataset with almost 200 fine-grained service labels and 140 million network flows extended with packet-level metadata. The number of flows is three orders of magnitude higher than in other existing public labeled datasets of encrypted traffic. The number of service labels, which is important to make the problem hard and realistic, is four times higher than in the public dataset with the most class labels. The published dataset is intended as a benchmark for identifying services in encrypted traffic. Service identification can be further extended with the task of "rejecting" unknown services, i.e., the traffic not seen during the training phase. Neural networks offer superior performance for tackling this more challenging problem. To showcase the dataset's usefulness, we implemented a neural network with a multi-modal architecture, which is the state-of-the-art approach, and achieved 97.04% classification accuracy and detected 91.94% of unknown services with 5% false positive rate.