项目简介：

漏洞利用程序的检测一直是网络安全领域的研究热点，现有检测技术在网络流量环境下对漏洞利用程序的检测遭受了准确性和效率的问题。

为了研究出更有效的网络流量中的漏洞利用程序的检测和分类方法，本项目首先研究采用基于主动防御策略的蜜罐技术来收集网络流量，以解决异常流量数据远远小于正常流量数据所导致的数据集不平衡问题。然后，研究利用核主成分分析技术将流量数据过滤并在新的特征空间中利用线性判别分析方法进行二次特征提取，以获得更为精准的特征属性。提取到特征属性后，将生成的特征利用非对称卷积自编码器结合随机森林算法共同构建检测模型。接着，研究基于相似性度量的漏洞攻击数据库构建算法，构建了一个面向网络流量的漏洞攻击数据库，将数据库中的数据作为训练集，通过快速决策树算法构建决策树形成分类模型，实现对待识别的攻击程序的分类，同时也可以为其他的分类方法改善误差，提高准确性。

此外，考虑到现有漏洞利用程序可能通过传输二进制恶意文件进行网络流量攻击，故研究二进制文件生成基于跳转的控制流图，接着针对异常跳转的漏洞利用程序的漏洞利用程序特征，提出了相关定义及基于控制流图的漏洞利用程序检测方法。进一步，项目研究基于深度学习的恶意网络流量分类方法及漏洞利用程序检测方法，通过研究时序卷积网络的特性学习流量数据包的字节序列特性提取数据集中的关键特征，训练出的检测模型在较短训练时间内可获得更高的准确率。考虑到加密流量分类的重要性，项目研究了深度信念网络分析加密流量TLS证书的特征，实现对漏洞利用程序加密流量的分类。最后，将上述研究技术整合开发了一套网络流量中漏洞利用程序检测原型系统，该原型系统能有效检测网络流量中典型的漏洞利用程序。

知识产权：

[1] 一种基于改进的聚类与自相似性的恶意程序检测方法，发明人：陈锦富，施登洲，张组法，刘博，黄如兵。公开号：202010469345.7，2020年。

[2] 一种改进后的支持向量机的恶意程序识别方法，发明人：陈锦富，殷上，张组法，黄如兵，杨健。公开号：202010459366.0，2020年。

[3] 一种漏洞利用程序特征的漏洞利用程序检测方法，发明人：陈锦富，秦松铃，胡津昌，黄如兵，赵玲玲。公开号：202010459057.3，2020年。

[4] 一种基于相似性度量的漏洞攻击数据库构建方法，发明人：陈锦富，张翅，秦松铃，蔡赛华，陈海波，陈静怡。公开号：202110659541.5，2021年。

[5] 一种基于漏洞攻击数据库及决策树的攻击程序识别方法，发明人：蔡赛华，陈锦富，秦松铃，张翅，陈海波。公开号：202110659629.7，2021年。

[6] 一种基于改进自编码器的特征提取及漏洞利用攻击检测方法，发明人：陈锦富，耿晔，赵玲玲，蔡赛华，陈海波，施登洲。公开号：202110657903.7，2021年。

[7] 一种基于核主成分分析的二次特征提取及恶意攻击识别方法，发明人：蔡赛华，陈锦富，赵玲玲，陈海波，殷上，张翅。公开号：202110659646.0，2021年。

[8] 一种基于最大频繁模式非相似性的异常网络流量检测方法，发明人：蔡赛华，陈锦富，徐波，等。公开号：202210226905.5。