《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学术路上期待与您前行,加油。
前一篇博客介绍了T-trace方法,通过分析日志间的关联性构建事件溯源图。该方法利用张量分解技术精准定位日志社群,并通过计算显著性评分提取事件。通过发现事件社群并基于日志关联构建溯源图,可有效推断APT活动。本文将详细概述增强启发式优化算法 EHO,通过动态感知概率、动态搜索空间和基于余弦相似度的种群更新机制,实现更高效、更稳定的特征子集搜索。注意,由于我们团队还在不断成长和学习中,写得不好的地方还请海涵,希望这篇文章对您有所帮助,这些大佬真值得我们学习。fighting!
- 欢迎关注作者新建的『网络攻防和AI安全之家』知识星球(文章末尾)
文章目录

原文作者 :Hongchen Yu, Wei Zhang, Chunying Kang, Yankun Xue
原文标题 :A feature selection algorithm for intrusion detection system based on the enhanced heuristic optimizer
原文链接 :https://www.sciencedirect.com/science/article/abs/pii/S0957417424027271
发表期刊 :Expert Systems with Applications 2025
笔记作者:贵州大学 陈超帆
一.研究背景与问题动机
随着网络基础设施规模的持续扩展以及网络业务类型的日益复杂,网络流量数据呈现出高维化、异构化和噪声化特征。入侵检测系统(Intrusion Detection System, IDS)通常依赖网络流量特征区分正常行为与异常攻击行为,但在实际网络环境中,大量冗余特征、无关特征和噪声特征会显著增加模型训练与测试的计算开销,并可能削弱分类器的检测性能。
因此,如何从高维网络流量中筛选出具有判别能力的关键特征,已成为提升IDS准确率、降低误报率和增强系统实时性的关键问题。论文明确指出,特征选择不仅能够降低模型复杂度,还能够减少冗余信息、提升模型性能并降低过拟合风险,是构建鲁棒IDS的重要预处理环节。
传统特征选择方法主要包括过滤式方法、包裹式方法以及基于元启发式优化的智能搜索方法。
- 过滤式方法通常计算效率较高,但容易忽视特征之间的组合关系;
- 包裹式方法能够将分类器性能纳入特征评价过程,但计算成本较高;
- 元启发式算法则能够在较大搜索空间内寻找较优特征组合,因而逐渐成为IDS特征选择研究中的重要方向。
然而,现有元启发式算法仍普遍存在早熟收敛、易陷入局部最优、搜索策略依赖固定参数以及全局探索与局部开发难以平衡等问题。论文以Crow Search Algorithm(CSA)为基础,针对其感知概率与飞行长度参数难以确定、容易陷入局部最优等不足,提出增强启发式优化算法(Enhanced Heuristic Optimization, EHO),并将其扩展为适用于二值特征选择任务的包裹式特征选择方法。
因此,本文的研究动机可以概括为:在高维、复杂、噪声较多的网络流量环境中,设计一种能够兼顾全局搜索能力、局部寻优能力和特征压缩能力的智能优化算法,从而选择更小且更具判别力的特征子集,并进一步提升IDS的检测精度与运行效率。
二.主要贡献
本文围绕入侵检测系统中"高维特征冗余导致模型性能受限"的核心问题,提出并系统性验证了一种新的特征选择算法------Enhanced Heuristic Optimizer(EHO)。相比传统启发式方法,EHO 在算法结构、动态优化机制、闭环分类反馈以及整体性能上都取得了显著突破。本研究的主要贡献可概括为以下四个方面。

(1)提出了一种面向 IDS 的增强启发式特征选择算法 EHO
本文提出的 EHO 在传统 Crow Search Algorithm(CSA)的基础上进行了结构性创新,引入了更具弹性和自适应能力的动态调节策略,使得特征选择过程能够更有效地跳出局部最优并保持全局搜索能力。具体而言,EHO 的创新包括:
- 动态感知概率(DP)机制:随迭代过程自适应调节探索(exploration)与开发(exploitation)的比重,使早期搜索更聚焦于全局范围,后期则收敛于关键区域。
- 动态搜索空间(DS)机制:通过逐步收缩搜索半径,提高搜索精细度,加速算法收敛。
- 三态更新策略(基于余弦相似度):利用个体与最优解的相似度动态选择"跟随全局最优"、"跟随历史最优",或"执行随机扰动",显著提升算法的稳定性与全局搜索性能。
这种结构性的增强使 EHO 不仅具备更强的灵活性,也在理论上避免了传统启发式算法易早熟、易振荡的不足。
(2)构建了"特征选择 + 深度分类"双层优化框架
传统 IDS 在特征选择阶段与分类阶段往往彼此独立,无法形成性能反馈。本研究提出了新型架构:
- 特征选择由 EHO 完成,得到候选特征子集
- 分类性能由轻量级决策树(DT)快速评估,用作 Fitness 值
- Fitness 值反向驱动 EHO 的下一轮搜索调整
- 最终最优特征子集将输入 GRU 深度神经网络进行终态分类
这种结构的优势在于:
- 特征选择与分类性能紧密耦合,不再依赖固定或静态的评估指标;
- DT 提供快速、廉价的反馈信号,显著降低总体计算开销;
- GRU 捕获时序流量模式,通常优于传统浅层模型,使特征选择最终优化方向更加贴近实际任务需求。
这一机制使特征选择成为"任务驱动"而非"统计驱动",具有更强的任务适应性。
(3)提出面向二进制特征选择任务的专用映射机制,提高算法可用性
由于特征选择本质上是 0-1 二值优化问题,传统连续优化算法难以直接应用。本文提出适用于 EHO 的二值映射策略,使连续搜索空间更新后的个体能够有效转换成二值特征选择掩码。该机制使得:
- EHO 可以在连续空间进行灵活、高效搜索;
- 再通过二值映射确保最终解严格符合作为特征选择的约束;
- 有效避免"连续向量无法落入可行二值空间"的常见问题。
这一设计保证算法既能保持连续优化的优势,又能满足特征选择任务的离散性需求。
(4)在多个基准数据集上验证了 EHO 的优越性与稳定性
本文在三大主流 IDS 数据集上进行了系统实验:
- NSL-KDD(41 维特征)
- UNSW-NB15(49 维特征)
- CIC-IDS2018(80 维特征)
结果显示:
- EHO 的特征选择子集维度更小、分类性能更高
- 在 Accuracy、Precision、Recall、F1-score 上均取得最优结果
- EHO 的收敛速度优于 PSO、CSA、HHO(见 Fig. 5)
- 在复杂、噪声较大的 CIC-IDS2018 上仍能保持 >98% 的分类准确率
这些结果表明 EHO 在实际网络流量数据上具有更强的鲁棒性与泛化性,能够有效适应现代 IDS 的高维场景需求。
三.系统架构与方法流程
本文提出的入侵检测系统并非单纯将启发式算法用于特征筛选,而是构建了一个由"数据预处理---增强启发式特征选择---特征子集评价---GRU分类检测"组成的包裹式特征选择框架。其核心思想是:先通过增强启发式优化算法在高维特征空间中搜索候选特征子集,再利用轻量级分类器对候选特征子集进行快速适应度评估,最终将最优特征子集输入GRU模型完成入侵检测。原文图3给出了该系统的整体架构,主要包括数据预处理、EHO特征选择、特征子集评估和GRU分类四个环节。

1.数据预处理
在系统输入阶段,论文首先对NSL_KDD、UNSW_NB15和CSE-CIC-IDS2018三个数据集进行预处理。预处理主要包括数据清洗、标签编码和归一化三个步骤。
- 数据清洗用于去除缺失值和重复记录,避免高频重复样本对模型训练产生偏置;
- 标签编码用于将协议类型、服务类型、连接状态等类别型特征转化为数值形式;
- 归一化处理则将不同量纲的特征统一映射到0,1区间,以降低特征尺度差异对优化搜索和模型收敛的影响。
原文在4.2节明确指出,预处理质量会直接影响后续分类器性能,因此该阶段是EHO特征选择和GRU分类的基础输入保障。
2.EHO总体框架
EHO是本文的核心创新。该算法来源于对Crow Search Algorithm(CSA,乌鸦搜索算法)的改进。CSA通过模拟乌鸦寻找、隐藏和偷取食物的行为实现群体智能搜索,但传统CSA存在感知概率和飞行长度难以设定、搜索过程易陷入局部最优、收敛速度不稳定等问题。为克服这些不足,本文提出Enhanced Heuristic Optimization(EHO),其基本思想如 图2 所示:
算法首先初始化种群个体位置,然后计算个体与历史最优位置、全局最优位置之间的相似关系,最后依据相似度和动态参数更新种群位置。图2中的 Xt 表示当前迭代中的个体位置,Mt 表示个体历史最优位置,Gt 表示全局最优位置。
EHO相较CSA的关键改进在于,它不再依赖固定的感知概率和飞行长度,而是引入动态状态函数,使算法在不同迭代阶段自动调节搜索行为。这样做的目的在于:算法早期保持较强的全局探索能力,避免过快收敛;算法后期逐步缩小搜索范围,提高局部开发精度,从而在全局搜索和局部寻优之间形成动态平衡。
3.动态感知概率与动态搜索空间
EHO的第一项核心创新是引入动态感知概率(Dynamic Perception Probability, DP)和动态搜索空间(Dynamic Space Size, DS)。原文将其称为对感知概率和飞行长度的改进。DP用于描述种群在当前迭代中对优化环境变化的感知能力,DS用于控制种群搜索空间的动态变化。随着迭代次数增加,DP和DS按照指数函数自适应变化,使算法能够从大范围探索逐步转向小范围精细搜索。
这一机制的意义在于,它避免了传统启发式算法依赖人工设定固定参数的问题。在特征选择任务中,搜索空间通常随特征维度呈指数级增长,如果算法一开始就过度开发,容易陷入局部最优;如果一直保持大范围探索,又会导致收敛缓慢。EHO通过DP和DS动态调节搜索行为,使算法能够在迭代早期扩大搜索覆盖面,在迭代后期集中搜索潜在优质特征组合,从而提升收敛效率和搜索稳定性。
4.基于余弦相似度的种群更新机制
EHO的第二项核心创新是设计了基于余弦相似度的种群更新机制。原文指出,为进一步提升全局搜索能力和局部开发能力,算法通过动态评估种群个体适应度,并结合局部与全局搜索策略更新个体位置,以避免种群陷入局部最优。具体而言,算法计算当前个体位置与随机选取个体历史最优位置之间的相似度,并据此决定后续更新方向。
这一更新机制可以理解为三类搜索路径的动态切换。
- 第一类是向历史最优位置靠近,用于利用已有搜索经验;
- 第二类是向全局最优位置靠近,用于加快向当前最优解收敛;
- 第三类是在特定条件下执行随机搜索,用于保持种群多样性并跳出局部最优。
与单一的"跟随最优个体"策略相比,该机制更加灵活,既能利用历史搜索经验,又能保留随机扰动带来的探索能力。因此,EHO能够在复杂、多峰的优化空间中保持较好的搜索鲁棒性。

5.二值映射机制
特征选择本质上是一个二值优化问题,即每个特征只有"选择"或"不选择"两种状态。为适应该任务,论文将EHO的连续搜索结果映射为二值特征向量。原文指出,每个候选解被定义为一个长度等于数据集特征数的向量,向量中"1"表示选择对应特征,"0"表示不选择对应特征。由于原始群智能优化算法多用于连续优化问题,论文通过阈值函数将连续个体位置离散化为二值解。图4进一步展示了EHO用于入侵检测特征选择的完整流程。
这一设计保证了EHO既能在连续空间中利用启发式优化算法的搜索优势,又能输出符合特征选择任务约束的离散特征子集。换言之,二值映射机制是EHO从一般优化算法转化为IDS特征选择算法的关键桥梁。

6.适应度函数
EHO采用包裹式特征选择思想,即通过分类器性能评价特征子集优劣。原文4.1节构建的适应度函数同时考虑两个目标:一是所选特征子集对应的分类准确率,二是所选特征数量占总特征数量的比例。其优化目标是:在保证较高检测准确率的前提下,尽可能减少所选特征数量。论文中将准确率项权重设为0.99,将特征数量项权重设为0.01,表明该方法以检测性能为主,同时兼顾特征压缩。
需要注意的是,本文并不是直接用GRU参与每一轮适应度评价,而是使用决策树作为快速评价器。决策树计算成本较低,适合在迭代优化过程中反复评估大量候选特征子集;GRU则用于最终特征子集的分类训练和性能测试。因此,论文方法更准确地说是"EHO + DT适应度评价 + GRU最终分类"的组合框架,而不是"GRU反向驱动DT评价"。
7.GRU分类模块
在EHO搜索得到最优特征子集后,论文将该特征子集输入GRU分类器进行训练和测试。选择GRU的原因在于,GRU作为LSTM的简化变体,具有更新门和重置门,能够在较少参数量下捕获序列数据中的时间依赖关系。网络流量通常具有一定时序行为特征,因此GRU相比普通浅层分类器更适合作为最终检测模型。
- 表2给出了GRU模型的具体超参数,包括5个隐藏层、batch size为1024、epoch为300、dropout为0.5、学习率为0.0003,并采用NAdam优化器、ReLU激活函数和交叉熵损失函数。
综上,本文方法流程可以概括为:首先对原始网络流量数据进行清洗、编码和归一化;其次初始化EHO种群并基于DP、DS和相似度更新机制搜索候选特征子集;然后通过二值映射得到可用特征掩码,并用决策树和适应度函数评价每个候选子集;最后选择适应度最优的特征子集输入GRU,完成入侵检测分类。该流程的创新性主要体现在三个层面:一是EHO本身的动态优化机制,二是连续搜索到二值特征选择的映射机制,三是"快速适应度评价 + 深度分类验证"的组合式IDS建模思路。
四.实验设计与结果分析
本文实验主要分为两个层面:第一层是标准优化函数实验,用于验证EHO本身的全局搜索能力、收敛速度和鲁棒性;第二层是入侵检测特征选择实验,用于验证EHO在真实网络流量数据上的特征压缩能力和检测性能。
1.优化函数实验:验证EHO的全局搜索与收敛能力
在优化算法验证部分,论文选取Schaffer、Booth、Easom、Branin、Rosenbrock和Rastrigin六类经典测试函数,并在30维优化问题上比较EHO与CSA、CSO、EFA、BWO、RIME、ZOA等算法的表现。表3列出了各测试函数的数学形式、搜索范围和最优值,图5展示了不同算法在六类函数上的收敛曲线。实验中所有算法采用相同设置,即种群规模为60、迭代次数为500、问题维度为30,以保证对比公平性。

从Fig. 5可以看出,EHO在多数测试函数上表现出更快的收敛速度和更好的最终优化值。尤其是在Schaffer、Easom、Branin和Rastrigin等多峰或复杂函数上,EHO能够持续优化并接近全局最优,而部分对比算法在中后期出现停滞或震荡。这说明EHO的动态感知概率、动态搜索空间和相似度驱动更新机制确实增强了算法跳出局部最优的能力。该实验为后续将EHO用于IDS特征选择提供了算法层面的有效性证明。

2.数据集与评价指标
在入侵检测实验中,论文使用NSL_KDD、UNSW_NB15和CSE-CIC-IDS2018三个公开数据集。
- NSL_KDD包含41个特征,主要用于验证算法在经典IDS数据集上的有效性;
- UNSW_NB15包含49个特征,涵盖多种现代攻击类型;
- CSE-CIC-IDS2018包含80个网络流量特征,并覆盖Brute Force、Botnet、DoS、DDoS、Web Attack、Infiltration等多类攻击场景。
表1给出了CSE-CIC-IDS2018中的攻击类型及流量数量分布,说明该数据集规模更大、攻击类型更丰富,也更能反映复杂网络环境下的检测挑战。论文采用Accuracy、Precision、Recall和F1-score作为检测性能评价指标。
3.特征选择结果:EHO能够以较少特征保持较高性能
表4、表5和表6分别展示了不同算法在NSL_KDD、UNSW_NB15和CSE-CIC-IDS2018上的特征选择结果。在NSL_KDD上,EHO仅选择4个特征,即FR2, FR35, FR36, FR39,少于CSA的6个、PSO的11个、HHO的7个和GA的7个,体现出较强的特征压缩能力。在UNSW_NB15上,EHO选择5个特征FR10, FR18, FR19, FR31, FR41,与HHO数量相同,但少于GA的9个。在CSE-CIC-IDS2018上,EHO选择7个特征FR0, FR22, FR41, FR55, FR67, FR79, FR80,少于PSO的20个和CSA的9个,与HHO数量相同,但多于GA的6个。


因此,准确表述应为:EHO总体上能够选择较少且更具判别力的特征子集,并不在每个数据集上都绝对选择最少特征,但其所选特征在后续分类性能上表现更优。这一点很重要,因为特征选择的目标并不是单纯追求特征数量最少,而是在特征压缩和检测性能之间取得最优平衡。
4.分类性能比较
在分类性能方面,表7展示了NSL_KDD数据集上的结果。EHO-GRU取得90.95%的Accuracy、90.94%的Precision、90.95%的Recall和90.94%的F1-score,明显优于未进行特征选择的GRU,以及CSA、PSO、HHO、GA等特征选择方法。
表8展示了UNSW_NB15数据集上的实验结果。EHO-GRU取得93.40%的Accuracy、95.49%的Precision、89.71%的Recall和91.93%的F1-score。相较HHO-GRU的90.57% F1-score和GA-GRU的89.88% F1-score,EHO仍保持领先。值得注意的是,EHO在该数据集上的Precision达到95.49%,说明其能够有效降低误报,即被判定为攻击的样本中真实攻击比例更高。这对于实际IDS部署具有重要意义,因为误报过高会显著增加安全运维人员的告警处置负担。
表9展示了CSE-CIC-IDS2018数据集上的结果。该数据集特征维度更高、攻击类型更多,因而更能检验算法在复杂场景下的鲁棒性。虽然未进行特征选择的GRU在Recall上与EHO非常接近,但EHO在Accuracy、Precision和F1-score上表现更优,并且仅使用7个特征即可达到该性能。相比之下,PSO虽然选择了20个特征,但F1-score为97.71%;GA虽然选择6个特征,但F1-score仅为96.53%。这表明EHO选择的特征子集兼具压缩性和判别性。

从图示结果看,图6、图7、图8和图9分别从Accuracy、Precision、Recall和F1-score四个角度可视化比较不同GRU-based NIDS算法。整体趋势表明,EHO-GRU在三个数据集上均保持较高水平,尤其在Accuracy、Precision和F1-score方面表现稳定。这说明EHO并非只在单一数据集上有效,而是具有较强的跨数据集适应性。


5.与已有研究的比较
表10进一步将GRU-EHO与已有入侵检测方法进行横向比较。这一结果表明,GRU-EHO不仅优于本文内部设置的多种特征选择算法,也在与已有IDS研究的对比中展现出较强竞争力。尤其是在实际应用中,Precision较高意味着误报更少,能够降低安全运营中的告警噪声和人工分析成本。

综上,在优化函数实验中,EHO表现出较快收敛速度和较强全局搜索能力,说明其动态机制能够有效缓解传统启发式算法早熟收敛问题。其次,在特征选择实验中,EHO能够从不同规模的数据集中筛选出较少的关键特征,降低输入维度和模型复杂度。再次,在最终分类性能上,EHO-GRU在Accuracy、Precision、Recall和F1-score等指标上整体优于CSA、PSO、HHO、GA等对比方法,并在多个数据集上保持较好稳定性。
五.总结与研究启发
本文针对IDS中高维特征冗余、噪声干扰和传统优化算法易陷入局部最优等问题,提出增强启发式优化算法EHO,并将其应用于包裹式特征选择任务。EHO通过动态感知概率、动态搜索空间和基于余弦相似度的种群更新机制,改善了传统CSA在参数固定、局部最优和收敛速度方面的不足。结合二值化映射和决策树适应度评价,该算法能够有效搜索适用于IDS的关键特征子集。最终,经过EHO筛选后的特征被输入GRU分类器进行检测,实验结果验证了该方法在特征压缩与检测性能提升方面的有效性。
从研究启发来看,该文表明,在网络安全检测任务中,模型性能不仅取决于分类器本身,也高度依赖输入特征的质量。对于高维网络流量数据而言,合理的特征选择能够降低计算复杂度、减少噪声干扰,并提升分类模型的泛化能力。本文所采用的"智能优化算法 + 包裹式特征选择 + 深度分类器"框架,为IDS性能优化提供了一种较为清晰的技术路径。
不过,本文也存在进一步拓展空间。
- 首先,EHO虽然在三个公开数据集上取得较好结果,但仍主要基于离线静态数据集评估,尚未充分验证其在真实流式网络环境中的在线适应能力。
- 其次,论文最终分类器采用GRU,能够一定程度上处理序列依赖,但对于更复杂的长程依赖关系、图结构流量关系或跨主机攻击链建模,仍可进一步引入Transformer、图神经网络或时序图学习方法。
- 再次,特征选择算法的可解释性仍可深化,例如进一步分析所选特征与不同攻击类型之间的因果关系和安全语义,从而提升算法结果对安全分析人员的可理解性。
总体而言,本文的价值在于从特征工程角度提升IDS性能,而不是单纯依赖更复杂的分类模型。其核心启示是:在入侵检测系统构建中,面向任务目标的高质量特征选择,是提高检测性能、降低计算成本和增强模型鲁棒性的关键环节。
2024年4月28日是Eastmount的安全星球------『网络攻防和AI安全之家』正式创建和运营的日子,该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券,欢迎新老博友和朋友加入,一起分享更多安全知识,比较良心的星球,非常适合初学者和换安全专业的读者学习。
目前收到了很多博友、朋友和老师的支持和点赞,尤其是一些看了我文章多年的老粉,购买来感谢,真的很感动,类目。未来,我将分享更多高质量文章,更多安全干货,真心帮助到大家。虽然起步晚,但贵在坚持,像十多年如一日的博客分享那样,脚踏实地,只争朝夕。继续加油,再次感谢!
(By:Eastmount 2026-07-09 周四夜于贵阳 http://blog.csdn.net/eastmount/ )
前文赏析:
- 论文阅读 (01)拿什么来拯救我的拖延症?初学者如何提升编程兴趣及LATEX入门详解
- 论文阅读 (02)SP2019-Neural Cleanse: Identifying and Mitigating Backdoor Attacks in DNN
- 论文阅读 (03)清华张超老师 - GreyOne: Discover Vulnerabilities with Data Flow Sensitive Fuzzing
- 论文阅读 (04)人工智能真的安全吗?浙大团队外滩大会分享AI对抗样本技术
- 论文阅读 (05)NLP知识总结及NLP论文撰写之道------Pvop老师
- 论文阅读 (06)万字详解什么是生成对抗网络GAN?经典论文及案例普及
- 论文阅读 (07)RAID2020 Cyber Threat Intelligence Modeling Based on Heterogeneous GCN
- 论文阅读 (08)NDSS2020 UNICORN: Runtime Provenance-Based Detector for Advanced Persistent Threats
- 论文阅读 (09)S&P2019 HOLMES Real-time APT Detection through Correlation of Suspicious Information Flow
- 论文阅读 (10)基于溯源图的APT攻击检测安全顶会总结
- 论文阅读 (11)ACE算法和暗通道先验图像去雾算法(Rizzi | 何恺明老师)
- 论文阅读 (12)英文论文引言introduction如何撰写及精句摘抄------以入侵检测系统(IDS)为例
- 论文阅读 (13)英文论文模型设计(Model Design)如何撰写及精句摘抄------以入侵检测系统(IDS)为例
- 论文阅读 (14)英文论文实验评估(Evaluation)如何撰写及精句摘抄(上)------以入侵检测系统(IDS)为例
- 论文阅读 (15)英文SCI论文审稿意见及应对策略学习笔记总结
- 论文阅读 (16)Powershell恶意代码检测论文总结及抽象语法树(AST)提取
- 论文阅读 (17)CCS2019 针对PowerShell脚本的轻量级去混淆和语义感知攻击检测
- 论文阅读 (18)英文论文Model Design和Overview如何撰写及精句摘抄------以系统AI安全顶会为例
- 论文阅读 (19)英文论文Evaluation(实验数据集、指标和环境)如何描述及精句摘抄------以系统AI安全顶会为例
- 论文阅读 (20)USENIXSec21 DeepReflect:通过二进制重构发现恶意功能(恶意代码ROI分析经典)
- 论文阅读 (21)S&P21 Survivalism: Systematic Analysis of Windows Malware Living-Off-The-Land (经典离地攻击)
- 论文阅读 (22)图神经网络及认知推理总结和普及-清华唐杰老师
- 论文阅读 (23)恶意代码作者溯源(去匿名化)经典论文阅读:二进制和源代码对比
- 论文阅读 (24)向量表征:从Word2vec和Doc2vec到Deepwalk和Graph2vec,再到Asm2vec和Log2vec(一)
- 论文阅读 (25)向量表征经典之DeepWalk:从Word2vec到DeepWalk,再到Asm2vec和Log2vec(二)
- 论文阅读 (26)基于Excel可视化分析的论文实验图表绘制总结------以电影市场为例
- 论文阅读 (27)AAAI20 Order Matters: 二进制代码相似性检测(腾讯科恩实验室)
- 论文阅读 (28)李沐老师视频学习------1.研究的艺术·跟读者建立联系
- 论文阅读 (29)李沐老师视频学习------2.研究的艺术·明白问题的重要性
- 论文阅读 (30)李沐老师视频学习------3.研究的艺术·讲好故事和论点
- 论文阅读 (31)李沐老师视频学习------4.研究的艺术·理由、论据和担保
- 论文阅读 (32)南洋理工大学刘杨教授------网络空间安全和AIGC整合之道学习笔记及强推(InForSec)
- 论文阅读 (33)NDSS2024 Summer系统安全和恶意代码分析方向相关论文汇总
- 论文阅读 (34)EWAS2024 基于SGDC的轻量级入侵检测系统
- 论文阅读 (35)TIFS24 MEGR-APT:基于攻击表示学习的高效内存APT猎杀系统
- 论文阅读 (36)C&S22 MPSAutodetect:基于自编码器的恶意Powershell脚本检测模型
- 论文阅读 (37)CCS21 DeepAID:基于深度学习的异常检测(解释)
- 论文阅读 (38)基于大模型的威胁情报分析与知识图谱构建论文总结(读书笔记)
- 论文阅读 (39)EuroS&P25 CTINEXUS:基于大模型的威胁情报知识图谱自动构建
- 论文阅读 (40)CCS24 PowerPeeler:一种通用的PowerShell脚本动态去混淆方法
- 论文阅读 (41)JISA24 物联网环境下基于少样本学习的攻击流量分类
- 论文阅读 (42)ASC25 基于大语言模型的未知Web攻击威胁检测
- 论文阅读 (43)ESWA25 评估大模型在真实攻击活动的恶意代码解混淆能力
- 论文阅读 (44)一种基于LLM少样本多标签的Android恶意软件检测方法
- 论文阅读 (45)C&S24 AISL: 基于攻击意图驱动与序列学习方法的APT攻击检测
- 论文阅读 (46)IDS-Agent: 一种用于物联网可解释入侵检测的大模型Agent
- 论文阅读 (47)LAMD: 基于大模型上下文驱动的Android恶意软件检测与分类
- 论文阅读 (48)TIFS24 基于注意力的恶意软件API定位技术
- 论文阅读 (49)JNCA24 网络威胁狩猎演化技术综述
- 论文阅读 (50)TDSC23 T-Trace:基于多源系统日志关联的APT溯源图构建
- 论文阅读 (51)ESWA25 基于启发式优化器的入侵检测系统