机器学习web安全-K近邻算法

最新推荐文章于 2024-04-03 21:55:36 发布
最新推荐文章于 2024-04-03 21:55:36 发布
阅读量637 收藏 4
点赞数
分类专栏: 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mlp750303040/article/details/79287683
版权
本文介绍了一种使用K近邻算法检测计算机系统中异常操作的方法。通过对操作命令进行数据清洗、特征化处理,利用最频繁及最不频繁的命令进行训练与测试,最终实现对异常操作的有效识别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用K近邻算法检测异常操作

1、数据清洗

依次读取文件中每行操作命令,每100个命令组成一个操作序列,并且做了标记,统计最频繁使用的前50个命令和最不频繁使用的前50个命令:

    with open(filename) as f:
        i=0
        x=[]
        for line in f:
            line=line.strip('\n')
            x.append(line)
            dist.append(line)
            i+=1
            if i == 100:
                cmd_list.append(x)
                x=[]
                i=0
    fdist = list(FreqDist(dist).keys())
    dist_max=set(fdist[0:50])
    dist_min = set(fdist[-50:])

2、特征化

(1)去重操作命令个数f1,这里是以每100个操作命令为一组

(2)最频繁使用的前10个命令f2

(3)最不频繁使用的前10个命令f3

将f2,f3标量化,即与之前统计的dist_max计算重合度,与dist_min计算重合度

        f1=len(set(cmd_block))
        fdist = list(FreqDist(cmd_block).keys())
        f2=fdist[0:10]
        f3=fdist[-10:]
        f2 = len(set(f2) & set(dist_max))
        f3=len(set(f3)&set(dist_min))
        x=[f1,f2,f3]

3、训练模型

从标识文件中加载针对操作序列正常和异常的标识,0为正常操作,1为异常操作

    with open(filename) as f:
        for line in f:
            line=line.strip('\n')
            print(line)
            x.append( int(line.split()[index]))

加载操作数据,并且将前100个作为训练序列,后50个作为测试序列

    user_cmd_list,user_cmd_dist_max,user_cmd_dist_min=load_user_cmd("G:/data/MasqueradeDat/User3")
    user_cmd_feature=get_user_cmd_feature(user_cmd_list,user_cmd_dist_max,user_cmd_dist_min)
    labels=get_label("G:/data/MasqueradeDat/label.txt",2)
    y=[0]*50+labels
    x_train=user_cmd_feature[0:N]
    y_train=y[0:N]
    x_test=user_cmd_feature[N:150]
    y_test=y[N:150]

调用KNN函数进行训练

    neigh = KNeighborsClassifier(n_neighbors=3)
    neigh.fit(x_train, y_train)
    y_predict=neigh.predict(x_test)

4、效果验证

测试结果计算

score=np.mean(y_test==y_predict)*100

完整代码:

import sys
import urllib
import re
import numpy as np
from sklearn.externals import joblib
import nltk
import csv
import matplotlib.pyplot as plt
from nltk.probability import FreqDist
from sklearn.feature_extraction.text import CountVectorizer
from sklearn.neighbors import KNeighborsClassifier

from sklearn.metrics import classification_report
from sklearn import metrics

N=100

def load_user_cmd(filename):
    cmd_list=[]
    dist_max=[]
    dist_min=[]
    dist=[]
    with open(filename) as f:
        i=0
        x=[]
        for line in f:
            line=line.strip('\n')
            x.append(line)
            dist.append(line)
            i+=1
            if i == 100:
                cmd_list.append(x)
                x=[]
                i=0
    fdist = list(FreqDist(dist).keys())
    dist_max=set(fdist[0:50])
    dist_min = set(fdist[-50:])
    return cmd_list,dist_max,dist_min

def get_user_cmd_feature(user_cmd_list,dist_max,dist_min):
    user_cmd_feature=[]
    for cmd_block in user_cmd_list:
        f1=len(set(cmd_block))
        fdist = list(FreqDist(cmd_block).keys())
        f2=fdist[0:10]
        f3=fdist[-10:]
        f2 = len(set(f2) & set(dist_max))
        f3=len(set(f3)&set(dist_min))
        x=[f1,f2,f3]
        user_cmd_feature.append(x)
    return user_cmd_feature

def get_label(filename,index=0):
    x=[]
    with open(filename) as f:
        for line in f:
            line=line.strip('\n')
            print(line)
            x.append( int(line.split()[index]))
    return x

if __name__ == '__main__':
    user_cmd_list,user_cmd_dist_max,user_cmd_dist_min=load_user_cmd("G:/data/MasqueradeDat/User3")
    user_cmd_feature=get_user_cmd_feature(user_cmd_list,user_cmd_dist_max,user_cmd_dist_min)
    labels=get_label("G:/data/MasqueradeDat/label.txt",2)
    y=[0]*50+labels
    x_train=user_cmd_feature[0:N]
    y_train=y[0:N]
    x_test=user_cmd_feature[N:150]
    y_test=y[N:150]

    neigh = KNeighborsClassifier(n_neighbors=3)
    neigh.fit(x_train, y_train)
    y_predict=neigh.predict(x_test)

    score=np.mean(y_test==y_predict)*100

    #print y
    #print y_train
    print (y_test)
    print (y_predict)
    print (score)

    print (classification_report(y_test, y_predict))
    print(np.array(labels).shape)

上面的思路是比较最频繁和最不频繁的操作命令,可能测试结果不是很理想,接下来进行全比较,在验证的时候,采用交叉验证,10次随机取样和验证,提高可信度。

import sys
import urllib
import re
import numpy as np
from sklearn.externals import joblib
import nltk
import csv
import matplotlib.pyplot as plt
from nltk.probability import FreqDist
from sklearn.feature_extraction.text import CountVectorizer
from sklearn.neighbors import KNeighborsClassifier

from sklearn.metrics import classification_report
from sklearn import metrics
from sklearn.model_selection import cross_val_score
N = 90
def load_user_cmd(filename):
    cmd_list = []
    dist = []
    with open(filename) as f:
        i = 0
        x = []
        for line in f:
            line = line.strip('\n')
            x.append(line)
            i += 1
            dist.append(line)
            if i == 100:
                cmd_list.append(x)
                x = []
                i = 0
    fdist = FreqDist(dist).keys()
    return cmd_list,fdist
def get_user_cmd_feature(user_cmd_list,dist):
    user_cmd_feature = []
    for cmd_list in user_cmd_list:
        v = [0] * len(dist)
        for i in range(0,len(dist)):
            if list(dist)[i] in cmd_list:
                v[i] += 1
        user_cmd_feature.append(v)
    return user_cmd_feature
def get_label(filename,index = 0):
    x = []
    with open(filename) as f:
        for line in f:
            line = line.strip('\n')
            x.append(int(line.split()[index]))
    return x

if __name__ == '__main__':
    user_cmd_list,dist=load_user_cmd("G:/data/MasqueradeDat/User3")
    print  ("Dist:(%s)" % dist)
    user_cmd_feature=get_user_cmd_feature(user_cmd_list,dist)
    labels=get_label("G:/data/MasqueradeDat/label.txt",2)
    y=[0]*50+labels
    x_train=user_cmd_feature[0:N]
    y_train=y[0:N]

    x_test=user_cmd_feature[N:150]
    y_test=y[N:150]

    neigh = KNeighborsClassifier(n_neighbors=3)
    neigh.fit(x_train, y_train)
    y_predict=neigh.predict(x_test)

    print (cross_val_score(neigh, user_cmd_feature, y, n_jobs=-1, cv=10))




Python从0到100(五十四):机器学习-K近邻算法及⼿写数字识别数据集分类
Hello大家好,我是Dream,如果帮得到你,那我深感荣幸!想进粉丝福利群及免费送书群,直接私信我拉你。交流学习、商务合作:https://bbs.youkuaiyun.com/topics/614347534
08-21 6万+
是⼀种常⽤的监督学习算法,主要⽤于分类和回归问题。KNN的基本原理是基于特征空间中样本点的距离来进⾏预测或分类。对于分类问题,KNN找到与待分类样本在特征空间中最近的K个训练样本,并基于它们的类别标签进⾏投票决策。对于回归问题,KNN找到最近的K个训练样本,并计算它们的平均值或加权平均值来预测待预测样本的数值输出。
机器学习笔记(6)---K-近邻算法(4)---使用K近邻算法检测异常操作之一
终身学习的程序猿
02-11 4459
前言 接着前面三篇学习笔记《约会对象魅力程度分类》、《使用sklearn中的KNN算法》和《KNN手写识别系统》,本节记录使用K近邻算法检测异常操作,主要参考《Web安全机器学习》 。 转载请注明出处:http://blog.youkuaiyun.com/rosetta 使用K近邻算法检测异常操作之一 实验数据及情况 实验数据在Schonlau个人网站中:http://www.schonl...
学习笔记(一):使用K近邻算法检测web异常操作
盐可
10-13 1073
黑客入侵Web服务器后,通常会通过系统漏洞进一步提权,获得ROOT权限。我们可以通过搜集LINUX服务器的bash操作日志,通过训练识别出特定用户的操作习惯,然后进一步识别出异常操作的行为。 1.数据搜集        训练集包括50个用户的操作日志,每个日志包括15000个操作命令,其中5000条都是正常操作,后面的10000条日志中随机包含有异常操作,每100条操作作为一个操作序列,保存在...
web安全机器学习入门》第5章K近邻算法读书笔记【上】
卧龙居
06-24 561
K近邻算法的思路:如果一个样本在空间上最近的K邻居大多数都属于M类,则该样本属于M类。在本章中,使用K近邻算法识别用户操作序列中的异常命令。分析数据集url:http://www.schonlau.net/数据集说明:50个用户的linux操作日志以User开头的文件为用户命令,总共有50个用户,每个文件记录了用户的15000条命令;其中前5000条是正常操作,而后10000条则包含部分异常操作l...
Web安全机器学习入门读书笔记——K近邻算法
s1054436218的博客
01-25 1598
网络空间安全和AI几乎是当下最热的两门话题了,而AI安全人才是少之又少,抱着这个想法和自己的兴趣,最近在读兜哥出的一本书:《Web安全机器学习入门》。这几天会边读边写笔记,由于兜哥的代码都是用python2.7写的,个人比较喜欢python3.6,在写笔记的过程中可能与兜哥的源代码不符,顺便纠正一下书中的错误(试某个代码的时候一直跑错,到兜哥的GitHub上发现大家都说兜哥的代码的确写错了)。建
使用K近邻算法检测Rootkit、WebShell
MrLeaper 的博客
02-08 1235
使用K近邻算法检测Rootkit基于telnet连接的rootkit检测流程:KDD 99 数据(41维特征)->筛选与rootkit相关特征->基于tcp内容的特征->向量化->与rootkit相关的特征向量->KNN算法+10折交叉验证->评估效果1、数据搜集和清洗这里用的是KDD 99数据集,筛选标记为rootkit和normal且是telnet协议的数据...
web安全机器学习入门》第5章K近邻算法读书笔记【下】
卧龙居
06-24 733
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络连接等信息。待分析数据集:KDD-99数据集,链接:http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html该数据集是从一个模拟的美国空军局域网上采集来的9个星期的网络连接数据,分成具有标识的训练数据和未加标识的测试数据。数据集已经进行了数据采集、清洗、提...
[红日安全]AI安全Day1-机器学习算法在web安全中的应用1
08-08
【红日安全】AI安全Day1-机器学习算法在web安全中的应用1 在Web安全领域,机器学习已经成为一种强大的工具,用于识别和防御各种威胁,如恶意软件、网络钓鱼、DDoS攻击等。本文将深入探讨机器学习的基础概念及其在...
Python-机器学习(二)-K近邻算法的原理与鸢尾花数据集实现详解
最新发布
m0_46608024的博客
04-03 1055
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。最近我才对这些路线做了一下新的更新,知识体系更全面了。
Web安全机器学习入门》笔记:第五章 5.5 K近邻检测Rootkit
mooyuan的网络安全博客
01-30 682
本章节根据《Web安全机器学习入门》的第五章5.5节K近邻检测Rootkit,使用K近邻机器学习算法对KDD数据集进行训练来检测Rootkit。
web安全机器学习入门——3.1 KNN/k近邻
weixin_30509393的博客
04-08 293
目录 sklearn.neighbors.NearestNeighbors 参数/方法 基础用法 用于监督学习 检测异常操作(一) 检测异常操作(二) 检测rootkit 检测webshell sklearn.neighbors.NearestNeighbors 参数: 方法: 基础用法 print(__doc__) fr...
近邻算法安全近邻算法的定义、区别
qq_44985415的博客
07-16 1411
安全近邻算法近邻算法的定义、区别
机器学习笔记(7)---K-近邻算法(5)---使用K近邻算法检测异常操作之二
终身学习的程序猿
02-11 742
前言 上一节给出了使用K近邻算法检测异常操作的一种方法,现给出另外一种方法。 转载请注明出处:http://blog.youkuaiyun.com/rosetta 使用K近邻算法检测异常操作之二 这节的内容和上节总体上类型,区别在于,上一节比较的是最频繁使用的命令和最不频繁使用的命令,而这次使用全量比较。 全量比较的思路仅仅特征选择上不太一样,它先统计所有15000条样本中不重复的命令条数(假设...
基于CallStack的反Rootkit HOOK检测
02-22 1420
Anti-Rootkit目前扫描Hook的方法主要有以下几种:   1.对抗inline -hook ,IAT/EAT Hook   Anti-Rootkit使用读取磁盘上系统文件并将之进行map\重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/IAT HOOK,后同),类似的工具例如Rootkit Unhooker, gmer, Icesword等等。
学习笔记(二):使用K近邻算法检测Web异常操作
盐可
10-13 698
使用全量比较,而不是最频繁和最不频繁的比较。 1.数据搜集        我们使用词集的模型,将全部命令去重后形成一个大型向量空间,每个命令代表一个特征,首先通过遍历全部命令,生成对应词集。 with open(filename) as f: for line in f: line = line.strip('\n') dist.append(line) fdist = F...
K临近算法检测异常操作(一)
qq_44465615的博客
11-23 2193
概述 K近邻(K-Nearest Neighbor,KNN)算法是机器学习领域使用最广 泛的算法之一,所谓KNN,就是K个最近的邻居的意思,说的是每个样 本都可以用它最接近的K个邻居来代表。KNN算法的核心思想是:如果 一个样本在特征空间中的K个最相邻的样本中的大多数属于某一个类 别,则该样本也属于这个类别,并具有这个类别上样本的特性。该方法在确定分类决策时,只依据最邻近的一个或者 几个样本的类别来决定待分样本所属的类别。KNN方法在类别决策时, 只与极少量的相邻样本有关。由于KNN方法主要靠周围有限的邻近
检测用户命令序列异常——使用LSTM分类算法【使用朴素贝叶斯,类似垃圾邮件分类的做法也可以,将命令序列看成是垃圾邮件】...
djph26741的博客
11-22 302
通过 搜集 Linux 服务器 的 bash 操作 日志, 通过 训练 识别 出 特定 用户 的 操作 习惯, 然后 进一步 识别 出 异常 操作 行为。使用 SEA 数据 集 涵盖 70 多个 UNIX 系统 用户 的 行为 日志, 这些 数据 来自 UNIX 系统 acct 机制 记录 的 用户 使用 的 命令。 SEA 数据 集中 每个 用户 都 采集 了 15000 条 命令, ...
Web安全之深度学习实战》笔记:第十章 用户行为分析与恶意行为检测
mooyuan的网络安全博客
03-11 2032
本章基于SEA数据集介绍UBA的一个典型应用场景,即恶意操作行为检测。事实上,在《web安全机器学习入门》中,我们已经了解过该数据集。 我们将恶意内部人员和内部员工的异常操作统称为恶意操作。检测这种恶意操作需要使用高级技术,比如用户行为分析(User Behawiors Analysis,UBA),这种新兴技术可提供以往被遗漏的数据保护和欺诈检测功能。结合用户日常操作的系统,UBA利用一种专门的安全分析算法,不仅可以关注初始登录操作,还能跟踪用户的一举一动。UBA有两个主...
K近邻算法检测异常操作及病毒
qq_42646885的博客
08-11 1727
1、简介 K邻近算法(K-Nearest Neighbor,KNN),就是K个最近的邻居的意思,就是说每个样本都可以用它最接近的K个邻居来代表。 KNN算法的核心是,如果一个样本在特征空间中的K个最相邻的样本中的大多数属于某一个类别,则该样本也属于这个类别,并具有这个类别上样本的特性。 KNN常用的算法:Brute Force、K-D Tree、Ball Tree. 2、一个简单示例 用...
VS2008实现泛型Kd树与k近邻查询算法
1. k近邻算法(k-Nearest Neighbors, k-NN) k近邻算法是一种基本分类与回归方法。在分类问题中,给定一个训练数据集,对新的输入实例,在训练集中找到与该实例最邻近的k个实例,这k个实例的多数属于某个类别,则该...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值