数字取证是在数字设备中提取，保存和记录证据的过程。数字取证中的一种常用方法是从数字设备的主要内存中提取数据。但是，主要的挑战是确定要提取的重要数据。几个关键信息都存在于主内存中，例如用户名，密码和加密密钥，例如SSH会话键。在本文中，我们提出了SmartKex，SmartKex是一种机器学习辅助方法，以从OpenSSH进程的Heap Memory快照中提取会话键。此外，我们发布了一个公开可用的数据集和用于创建其他数据的相应工具链。最后，我们将SmartKex与幼稚的蛮力方法进行比较，并从经验上表明，SmartKex可以以高精度和高吞吐量提取会话键。有了提供的资源，我们打算加强有关数字取证，网络安全和机器学习之间交集的研究。

互联网流量分类在网络可见性，服务质量（QoS），入侵检测，经验质量（QOE）和交通趋势分析中起关键作用。为了提高隐私，完整性，机密性和协议混淆，当前的流量基于加密协议，例如SSL/TLS。随着文献中机器学习（ML）和深度学习（DL）模型的使用增加，由于缺乏标准化的框架，不同模型和方法之间的比较变得繁琐且困难。在本文中，我们提出了一个名为OSF-EIMTC的开源框架，该框架可以提供学习过程的完整管道。从著名的数据集到提取新的和知名的功能，它提供了著名的ML和DL模型（来自交通分类文献）的实现以及评估。这样的框架可以促进交通分类域的研究，从而使其更可重复，可重复，更易于执行，并可以更准确地比较知名和新颖的功能和新颖的功能和模型。作为框架评估的一部分，我们演示了可以使用多个数据集，模型和功能集的各种情况。我们展示了公开可用数据集的分析，并邀请社区使用OSF-EIMTC参与我们的公开挑战。

如今，恶意软件和恶意软件事件日常增加，即使具有各种防病毒系统和恶意软件检测或分类方法。已经提出了许多静态，动态和混合技术来检测恶意软件并将其分类为恶意软件系列。动态和混合恶意软件分类方法通过高效的静态恶意软件分类方法具有优势。由于难以在执行恶意软件行为的同时执行恶意软件行为，而不是在静态恶意软件分类中的基础代码，因此机器学习技术是安全专家检测恶意软件并动态确定其家庭的主要焦点。恶意软件的快速增长还带来了最近和更新的恶意软件数据集的必要性。我们在这项工作中介绍了两个新的更新数据集：一个有9,795个样本，从virussamples和virusshare的样品中编制了一个。本文还通过使用基于直方图的渐变升压，随机林，支持向量机和XGBoost模型与基于API呼叫的动态恶意软件分类进行分析了这两个数据集的平衡和不平衡版本的多级恶意软件分类性能。结果表明，支持向量机，在不平衡的virysample数据集中实现了94％的最高分，而相同的型号在平衡的virussample数据集中具有91％的精度。虽然xgboost是基于渐变的渐变促进的型号之一，但最高得分为90％和80％。在Virusshare数据集的两个版本中。本文还通过使用动态恶意软件分类文献中的四种最广泛的机器学习技术介绍了VirusShare和VirusSample Datasets的基线结果。我们认为这两个数据集和基线结果使得该领域的研究人员能够测试和验证其方法和方法。

恶意软件系列的分类对于全面了解他们如何感染设备，计算机或系统的全面了解至关重要。因此，恶意软件识别使安全研究人员和事件响应者能够采取防止恶意软件的预防措施并加速缓解。由于这些序列代表恶意软件的行为，恶意软件由恶意软件制作的API呼叫序列是广泛利用的机器和深度学习模型的特征。但是，传统的机器和深度学习模型仍然无法捕获API呼叫之间的序列关系。另一方面，基于变压器的模型作为整体过程序列，并且由于多针注意机制和位置嵌入而学习API调用之间的关系。我们的实验表明，具有一个变压器块层的变压器模型超越了广泛使用的基础架构，LSTM。此外，伯特或犬，预先训练的变压器模型，在根据评估指标，F1分数和AUC分数分类高度不平衡恶意软件系列方面表现优于分类高度不平衡的恶意软件系列。此外，拟议的基于袋的随机变压器森林（RTF），伯特或犬的集合，已经达到了四个数据集中的三个，特别是最先进的F1 - 在一个常用的基准数据集中得分为0.6149。

有限的公开数据可以支持恶意软件分析技术的研究。特别是，几乎没有由杜鹃/斗篷等丰富的沙盒生成的公开可用数据集。使用动态沙箱的好处是对目标机中文件执行的逼真模拟并获得该执行日志。机器可以被恶意软件感染，因此很有可能在执行日志中捕获恶意行为，从而使研究人员可以详细研究这种行为。尽管随后对日志信息的分析在工业网络安全后端被广泛介绍，但据我们所知，仅在学术界投入了有限的努力，以使用最先进的技术提高此类日志分析功能。我们使此示例数据集可用来支持设计新的机器学习方法以进行恶意软件检测，尤其是用于自动检测通用恶意行为。该数据集是在Avast软件和捷克技术大学-AI中心（AIC）之间合作的。

互联网流量分类广泛用于促进网络管理。它在服务质量（QoS），经验质量（QOE），网络可见性，入侵检测和交通趋势分析中起着至关重要的作用。尽管没有理论上的保证，即基于深度学习的解决方案比经典的机器学习（ML）的解决方案更好，但基于DL的模型已成为常见默认值。本文比较了著名的基于DL和基于ML的模型，并表明，在恶意交通分类的情况下，最先进的基于DL的解决方案不一定优于基于经典的ML的解决方案。我们使用两个知名数据集来体现这一发现，用于各种任务，例如：恶意软件检测，恶意软件家庭分类，零日攻击的检测以及对迭代增长数据集的分类。请注意，评估所有可能的模型以做出具体陈述是不可行的，因此，上述发现不是避免基于DL的模型的建议，而是经验证明，在某些情况下，有更简单的解决方案，即更简单的解决方案，即可能表现更好。

恶意软件检测在网络安全中起着至关重要的作用，随着恶意软件增长的增加和网络攻击的进步。以前看不见的恶意软件不是由安全供应商确定的，这些恶意软件通常在这些攻击中使用，并且不可避免地要找到可以从未标记的样本数据中自学习的解决方案。本文介绍了Sherlock，这是一种基于自学的深度学习模型，可根据视觉变压器（VIT）体系结构检测恶意软件。 Sherlock是一种新颖的恶意软件检测方法，它可以通过使用基于图像的二进制表示形式来学习独特的功能，以区分恶意软件和良性程序。在47种类型和696个家庭的层次结构中使用120万个Android应用的实验结果表明，自我监督的学习可以达到97％的恶意软件分类，而恶意软件的二进制分类比现有的最新技术更高。我们提出的模型还能够胜过针对多级恶意软件类型和家庭的最先进技术，分别为.497和.491。

网络威胁情报（CTI）共享是减少攻击者和捍卫者之间信息不对称的重要活动。但是，由于数据共享和机密性之间的紧张关系，这项活动带来了挑战，这导致信息保留通常会导致自由骑士问题。因此，共享的信息仅代表冰山一角。当前的文献假设访问包含所有信息的集中数据库，但是由于上述张力，这并不总是可行的。这会导致不平衡或不完整的数据集，需要使用技术扩展它们。我们展示了这些技术如何导致结果和误导性能期望。我们提出了一个新颖的框架，用于从分布式数据中提取有关事件，漏洞和妥协指标的分布式数据，并与恶意软件信息共享平台（MISP）一起证明其在几种实际情况下的使用。提出和讨论了CTI共享的政策影响。拟议的系统依赖于隐私增强技术和联合处理的有效组合。这使组织能够控制其CTI，并最大程度地减少暴露或泄漏的风险，同时为共享的好处，更准确和代表性的结果以及更有效的预测性和预防性防御能力。

在本文中，我们介绍了四种突出的恶意软件检测工具的科学评估，以帮助组织提出两个主要问题：基于ML的工具在多大程度上对以前和从未见过的文件进行了准确的分类？是否值得购买网络级恶意软件检测器？为了识别弱点，我们针对各种文件类型的总计3,536个文件（2,554或72 \％恶意，982或28 \％良性）测试了每个工具，包括数百个恶意零日，polyglots和apt-style-style style文件，在多个协议上交付。我们介绍了有关检测时间和准确性的统计结果，请考虑互补分析（一起使用多个工具），并提供了近期成本效益评估程序的两种新颖应用。尽管基于ML的工具在检测零日文件和可执行文件方面更有效，但基于签名的工具仍然是总体上更好的选择。两种基于网络的工具都与任何一种主机工具配对时都可以进行大量（模拟）节省，但两者在HTTP或SMTP以外的协议上都显示出较差的检测率。我们的结果表明，所有四个工具都具有几乎完美的精度但令人震惊的召回率，尤其是在可执行文件和Office文件以外的文件类型上 - 未检测到37％的恶意软件，包括所有Polyglot文件。给出了研究人员的优先事项，并给出了最终用户的外卖。

Security issues are threatened in various types of networks, especially in the Internet of Things (IoT) environment that requires early detection. IoT is the network of real-time devices like home automation systems and can be controlled by open-source android devices, which can be an open ground for attackers. Attackers can access the network, initiate a different kind of security breach, and compromises network control. Therefore, timely detecting the increasing number of sophisticated malware attacks is the challenge to ensure the credibility of network protection. In this regard, we have developed a new malware detection framework, Deep Squeezed-Boosted and Ensemble Learning (DSBEL), comprised of novel Squeezed-Boosted Boundary-Region Split-Transform-Merge (SB-BR-STM) CNN and ensemble learning. The proposed S.T.M. block employs multi-path dilated convolutional, Boundary, and regional operations to capture the homogenous and heterogeneous global malicious patterns. Moreover, diverse feature maps are achieved using transfer learning and multi-path-based squeezing and boosting at initial and final levels to learn minute pattern variations. Finally, the boosted discriminative features are extracted from the developed deep SB-BR-STM CNN and provided to the ensemble classifiers (SVM, M.L.P., and AdaboostM1) to improve the hybrid learning generalization. The performance analysis of the proposed DSBEL framework and SB-BR-STM CNN against the existing techniques have been evaluated by the IOT_Malware dataset on standard performance measures. Evaluation results show progressive performance as 98.50% accuracy, 97.12% F1-Score, 91.91% MCC, 95.97 % Recall, and 98.42 % Precision. The proposed malware analysis framework is helpful for the timely detection of malicious activity and suggests future strategies.

Network intrusion detection systems (NIDSs) play an important role in computer network security. There are several detection mechanisms where anomaly-based automated detection outperforms others significantly. Amid the sophistication and growing number of attacks, dealing with large amounts of data is a recognized issue in the development of anomaly-based NIDS. However, do current models meet the needs of today's networks in terms of required accuracy and dependability? In this research, we propose a new hybrid model that combines machine learning and deep learning to increase detection rates while securing dependability. Our proposed method ensures efficient pre-processing by combining SMOTE for data balancing and XGBoost for feature selection. We compared our developed method to various machine learning and deep learning algorithms to find a more efficient algorithm to implement in the pipeline. Furthermore, we chose the most effective model for network intrusion based on a set of benchmarked performance analysis criteria. Our method produces excellent results when tested on two datasets, KDDCUP'99 and CIC-MalMem-2022, with an accuracy of 99.99% and 100% for KDDCUP'99 and CIC-MalMem-2022, respectively, and no overfitting or Type-1 and Type-2 issues.

随着技术的快速进步，由于恶意软件活动的增加，安全性已成为一个主要问题，这对计算机系统和利益相关者的安全性和安全性构成了严重威胁。为了维持利益相关者，特别是最终用户的安全，保护数据免受欺诈性努力是最紧迫的问题之一。旨在破坏预期的计算机系统和程序或移动和Web应用程序的一组恶意编程代码，脚本，活动内容或侵入性软件称为恶意软件。根据一项研究，幼稚的用户无法区分恶意和良性应用程序。因此，应设计计算机系统和移动应用程序，以检测恶意活动以保护利益相关者。通过利用包括人工智能，机器学习和深度学习在内的新颖概念，可以使用许多算法来检测恶意软件活动。在这项研究中，我们强调了基于人工智能（AI）的技术来检测和防止恶意软件活动。我们详细介绍了当前的恶意软件检测技术，其缺点以及提高效率的方法。我们的研究表明，采用未来派的方法来开发恶意软件检测应用程序应具有很大的优势。对该综合的理解应帮助研究人员使用AI进行进一步研究恶意软件检测和预防。

随着数字时代的出现，由于技术进步，每天的任务都是自动化的。但是，技术尚未为人们提供足够的工具和保障措施。随着互联网连接全球越来越多的设备，确保连接设备的问题以均匀的螺旋速率增长。数据盗窃，身份盗窃，欺诈交易，密码妥协和系统漏洞正在成为常规的日常新闻。最近的人工智能进步引起了网络攻击的激烈威胁。 AI几乎应用于不同科学和工程的每个领域。 AI的干预不仅可以使特定任务自动化，而且可以提高效率。因此，很明显，如此美味的传播对网络犯罪分子来说是非常开胃的。因此，传统的网络威胁和攻击现在是``智能威胁''。本文讨论了网络安全和网络威胁，以及传统和智能的防御方式，以防止网络攻击。最终，结束讨论，以潜在的潜在前景结束讨论AI网络安全。

恶意软件是对计算机系统的主要威胁，并对网络安全构成了许多挑战。有针对性的威胁（例如勒索软件）每年造成数百万美元的损失。恶意软件感染的不断增加一直激励流行抗病毒（AV）制定专用的检测策略，其中包括精心制作的机器学习（ML）管道。但是，恶意软件开发人员不断地将样品的功能更改为绕过检测。恶意软件样品的这种恒定演变导致数据分布（即概念漂移）直接影响ML模型检测率，这是大多数文献工作中未考虑的。在这项工作中，我们评估了两个Android数据集的概念漂移对恶意软件分类器的影响：DREBIN（约130k应用程序）和Androzoo（约350K应用程序）的子集。我们使用这些数据集训练自适应随机森林（ARF）分类器以及随机梯度下降（SGD）分类器。我们还使用其Virustotal提交时间戳订购了所有数据集样品，然后使用两种算法（Word2Vec和tf-idf）从其文本属性中提取功能。然后，我们进行了实验，以比较两个特征提取器，分类器以及四个漂移检测器（DDM，EDDM，ADWIN和KSWIN），以确定真实环境的最佳方法。最后，我们比较一些减轻概念漂移的可能方法，并提出了一种新的数据流管道，该管道同时更新分类器和特征提取器。为此，我们通过（i）对9年来收集的恶意软件样本进行了纵向评估（2009- 2018年），（ii）审查概念漂移检测算法以证明其普遍性，（iii）比较不同的ML方法来减轻此问题，（iv）提出了超过文献方法的ML数据流管道。

该项目的目的是收集和分析有关关注Microsoft Windows恶意软件的已发布结果的可比性和现实生活的数据，更具体地说是数据集大小和测试数据集不平衡对测量检测器性能的影响。一些研究人员使用较小的数据集，如果数据集大小对性能产生重大影响，则可以比较已发布的结果。研究人员还倾向于使用平衡的数据集和准确性作为测试的指标。前者并不是现实的真实代表，在这种现实中，良性样本明显超过了恶意软件，而后者的方法对于不平衡问题而言是有问题的。该项目确定了两个关键目标，以了解数据集大小是否与测量的探测器性能相关，以防止有意义地比较已发布的结果，并了解是否可以在现实世界中的部署中表现良好设想。该研究的结果表明，数据集的大小确实与测量的检测器性能相关，以防止有意义地比较已发表的结果，并且不了解训练集大小准确性曲线的性质，用于在哪种方法“更好”的方法之间得出已发表的结果结论。不应仅根据准确分数制作。结果还表明，高精度得分不一定会转化为高现实世界的性能。

网络犯罪是本世纪的主要数字威胁之一。尤其是，勒索软件攻击已大大增加，导致全球损失成本数十亿美元。在本文中，我们训练和测试不同的机器学习和深度学习模型，以进行恶意软件检测，恶意软件分类和勒索软件检测。我们介绍了一种新颖而灵活的勒索软件检测模型，该模型结合了两个优化的模型。我们在有限数据集上的检测结果表明了良好的准确性和F1分数。

恶意软件开发人员使用诸如压缩，加密和混淆等技术的组合来绕过反病毒软件。使用抗分析技术的恶意软件可以绕过基于AI的防病毒软件和恶意软件分析工具。因此，对包装文件进行分类是最大的挑战之一。如果恶意软件分类器学习包装工的功能，而不是恶意软件的功能，就会出现问题。用意外错误的数据训练模型变成中毒攻击，对抗攻击和逃避攻击。因此，研究人员应考虑包装以构建适当的恶意软件分类器模型。在本文中，我们提出了一个多步框架，用于分类和识别包装样本，其中包括伪最佳的功能选择，基于机器学习的分类器和Packer识别步骤。在第一步中，我们使用购物车算法和置换重要性来预选重要的20个功能。在第二步中，每个模型都会学习20个预选功能，以分类具有最高性能的包装文件。结果，XGBoost以置换重要性了解了XGBoost预先选择的功能，其精度为99.67％，F1得分为99.46％，并且在曲线下的F1分数表现出最高的性能（f1）。 AUC）为99.98％。在第三步中，我们提出了一种新方法，该方法只能识别包装工，仅针对被分类为众所周知的包装的样品。

Network traffic classification is the basis of many network security applications and has attracted enough attention in the field of cyberspace security. Existing network traffic classification based on convolutional neural networks (CNNs) often emphasizes local patterns of traffic data while ignoring global information associations. In this paper, we propose a MLP-Mixer based multi-view multi-label neural network for network traffic classification. Compared with the existing CNN-based methods, our method adopts the MLP-Mixer structure, which is more in line with the structure of the packet than the conventional convolution operation. In our method, the packet is divided into the packet header and the packet body, together with the flow features of the packet as input from different views. We utilize a multi-label setting to learn different scenarios simultaneously to improve the classification performance by exploiting the correlations between different scenarios. Taking advantage of the above characteristics, we propose an end-to-end network traffic classification method. We conduct experiments on three public datasets, and the experimental results show that our method can achieve superior performance.

恶意软件归类是一个相对未探索的区域，它相当难以属于恶意软件和检测作者。在本文中，我们采用了恶意可执行文件的各种静态和动态特征，以基于其家庭对恶意软件进行分类。我们利用杜鹃沙箱和机器学习在这项研究中取得进展。发布分析，使用各种深度学习和机器学习算法进行分类。使用从Virustotal（静态）和杜鹃（动态）报告中收集的功能，我们将Vectorized数据与多项式天真贝叶斯，支持向量机和使用决策树作为基础估算器进行袋装。对于每个分类器，我们使用详尽的搜索方法调整了超级参数。我们的报告在恶意软件归属中非常有用。

目前，数据赢得了用户生成的数据和数据处理系统之间的大鼠竞赛。机器学习的使用增加导致处理需求的进一步增加，而数据量不断增长。为了赢得比赛，需要将机器学习应用于通过网络的数据。数据的网络分类可以减少服务器上的负载，减少响应时间并提高可伸缩性。在本文中，我们使用现成的网络设备以混合方式介绍了IISY，以混合方式实施机器学习分类模型。 IISY针对网络内分类的三个主要挑战：（i）将分类模型映射到网络设备（ii）提取所需功能以及（iii）解决资源和功能约束。 IISY支持一系列传统和集合机器学习模型，独立于开关管道中的阶段数量扩展。此外，我们证明了IISY用于混合分类的使用，其中在一个开关上实现了一个小模型，在后端的大型模型上实现了一个小模型，从而实现了接近最佳的分类结果，同时大大降低了服务器上的延迟和负载。