《web安全之机器学习入门》第5章K近邻算法读书笔记【上】

最新推荐文章于 2025-10-16 16:56:32 发布
原创 最新推荐文章于 2025-10-16 16:56:32 发布 · 580 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何利用K近邻算法识别用户操作序列中的异常命令。通过分析50个用户的Linux操作日志,提取不重复命令数量、常用命令重合度等特征,并采用两种方法实现异常检测。

K近邻算法的思路:如果一个样本在空间上最近的K邻居大多数都属于M类,则该样本属于M类。在本章中,使用K近邻算法识别用户操作序列中的异常命令。

分析数据集url:http://www.schonlau.net/

数据集说明:

50个用户的linux操作日志

以User开头的文件为用户命令,总共有50个用户,每个文件记录了用户的15000条命令;其中前5000条是正常操作,而后10000条则包含部分异常操作

label.txt是一个100行,50列的文件,每一列代表一个用户,而每一行则代表了对于每100条命令的标注(异常命令只会出现在50001~15000共10000行内,100行内只要出现一次异常操作,则认为异常)


方法一:

#对于每100个操作序列,选取以下特征
#特征1:不重复命令个数
#特征2:操作最频繁的前10个命令,与数据集内操作最频繁的前50个命令,计算重合度

#特征3:操作最不频繁的前10个命令,与数据集内操作最不频繁的前50个命令,计算重合度

代码如下:

#coding:utf-8
import os
import numpy as np
from sklearn.neighbors import KNeighborsClassifier

#对于每100个操作序列,选取以下特征
#特征1:不重复命令个数
#特征2:操作最频繁的前10个命令,与数据集内操作最频繁的前50个命令,计算重合度
#特征3:操作最不频繁的前10个命令,与数据集内操作最不频繁的前50个命令,计算重合度

DATAPATH = os.path.normpath(os.path.dirname(os.path.abspath(__file__)) + "/data") 

def parse_data():
    rtn = list()

    for i in range(1, 51):
        FULLPATH = DATAPATH + "/User" + str(i)
        curdic = dict()
        with open(FULLPATH, "r") as f:
            for line in f.readlines():
                line = line.strip()
                if line in curdic.keys():
                    curdic[line] = curdic[line] + 1
                else:
                    curdic[line] = 1
        clist = sorted(curdic.items(), key=lambda x:x[1], reverse=True)
        rtn.append(clist)

    return rtn

def parse_all_data(ls):
    curdic = dict()
    for item in ls:
        for citem in item:
            if citem[0] not in curdic.keys():
                curdic[citem[0]] = 1
            curdic[citem[0]] = curdic[citem[0]] + citem[1]
    rtn = sorted(curdic.items(), key=lambda x:x[1], reverse=True)
    return rtn 

def parse_user_data():
    rtn = list()

    for i in range(1, 51):
        FULLPATH = DATAPATH + "/User" + str(i)
        curlist = list()
        with open(FULLPATH, "r") as f:
            for line in f.readlines():
                curlist.append(line.strip())
            rtn.append(curlist)

    return rtn

def parse_label_data():
    ls = list()
    for i in range(0,50):
        ls.append(list())
    FULLPATH = DATAPATH + "/label.txt"
    with open(FULLPATH, "r") as f:
        for line in f.readlines():
            lines = line.split()
            for i in range(0, 50):
                ls[i].append(int(lines[i]))

    return ls

if __name__ == '__main__':
    data = parse_data()
    all_data = parse_all_data(data)
    top_cmd_50 = [item[0] for item in all_data[0:50]]
    last_cmd_50 = [item[0] for item in all_data[-50:]]

    all_user_data = parse_user_data()
    all_label_data = parse_label_data()

    #使用用户3的数据进行训练和测试
    for m in range(0, 50):
        testdata = all_user_data[m]
        train_data = list()
        for i in range(0,15000,100):
            cmds = testdata[i:i+100]
            feature1 = len(set(cmds))
            cmd_dict = dict()
            for cmd in cmds:
                if cmd not in cmd_dict.keys():
                    cmd_dict[cmd] = 1
                else:
                    cmd_dict[cmd] = cmd_dict[cmd] + 1
            cmd_list = sorted(cmd_dict.items(), key=lambda x:x[1], reverse=True)
            top_cmd_10 = [item[0] for item in cmd_list[0:10]]
            last_cmd_10 = [item[0] for item in cmd_list[-10:]]
            feature2 = len(set(top_cmd_10)&set(top_cmd_50))
            feature3 = len(set(last_cmd_10)&set(last_cmd_50))
            train_data.append([feature1, feature2, feature3])

        #标签
        label_data = [0]*50 + all_label_data[m]

        #使用前120个训练KNN模型,使用后30个进行验证
        model = KNeighborsClassifier(n_neighbors = 3)
        model.fit(train_data[0:120], label_data[0:120])
        test_result = model.predict(train_data[-30:])
        print "user:", m+1, "precision:", np.mean(test_result==label_data[-30:])*100
        print "predict", test_result
        print "correct result", label_data[-30:]

运行效果如下:


方法二:

在50个命令文件中,去出所有命令(不重复)组成词集。然后对于每100个操作序列,根据它们在词集向量空间上的分布情况得到特征。

代码如下:

#coding:utf-8
import os
import numpy as np
from sklearn.neighbors import KNeighborsClassifier
from sklearn.model_selection import cross_val_score

DATAPATH = os.path.normpath(os.path.dirname(os.path.abspath(__file__)) + "/data")

#得到命令词集
def parse_word_dict():
    words = set()
    for i in range(1, 51):
        FULLPATH = DATAPATH + "/User" + str(i)
        with open(FULLPATH, "r") as f:
            for line in f.readlines():
                words.add(line.strip())
    return list(words)

def parse_all_data(words):
    ls = list()
    words_len = len(words)
    for i in range(1, 51):
        FULLPATH = DATAPATH + "/User" + str(i)
        cwordict = dict()
        with open(FULLPATH, "r") as f:
            cmds = list()
            for line in f.readlines():
                line = line.strip()
                cmds.append(line)
        
        for j in range(0, 15000, 100):
            start = j
            end = j+100
            #每100个命令组成词集向量
            clist = [0]*words_len
            for m in range(start,end):
                for n in range(0, words_len):
                    if cmds[m] == words[n]:
                        clist[n] = 1
                        break
            ls.append(clist)

    return ls

def parse_label_data():
    ls = list()
    for i in range(0,50):
        ls.append(list())
    FULLPATH = DATAPATH + "/label.txt"
    with open(FULLPATH, "r") as f:
        for line in f.readlines():
            lines = line.split()
            for i in range(0,50):
                ls[i].append(lines[i])
    rtnls = list()
    for line in ls:
        rtnls.extend([0]*50+line)

    return rtnls

if __name__ == '__main__':
    words = parse_word_dict()
    test_data = parse_all_data(words)
    label_data = parse_label_data()

    neigh = KNeighborsClassifier(n_neighbors = 3)
    #10轮交叉验证
    scores = cross_val_score(neigh, test_data, label_data, cv=10)
    print scores
    print "precision:",np.mean(scores)*100

10轮交叉验证的准确度如下:


1本书:《 Web安全机器学习入门
02-20
京东链接 网盘链接 [网盘链接提取码:c8xm](链接: ://pan.baidu.com/s/1eyt7k5KZ_fR2Xf8wOa3cIg) 目录 前言 先是Google的AlphaGo,后有百度的度秘,无人车,微软必应搜索推出的小冰也是新闻不断。这是人工智能产品的推陈出新,令人眼花缭乱,一时间给人的感觉是人工智能遍地开花。无论有人接受还是不接受,人工智能都在Swift渗透各行各业。安全作为一个传统行业,基于规则以及黑白列表的检测技术已经发展到了一定的高度,而利益驱动的黑产团伙,其技术的发展已经远远超乎我们的想象。如何利用人工智能的力量,提升安全行业的整体检测与防护能力,成为各大安全厂商研究的?。国内安全行业,经过BAT3以及大量新兴的创业企业进入企业安全领域,他们利用自身固有的数据搜集,处理,积累以及人工智能方面的优势,不断改变着着整个安全行业,安全产品的形态从硬件传统安全企业也必
精选资源
机器学习项目入门
02-23
机器学习领域,入门项目是理解基础概念、掌握核心算法并熟悉实际操作的重要步骤。"机器学习项目入门"是一个专为初学者设计的学习资源,旨在帮助你快速进入这个激动人心的领域。在这个项目中,你将使用Jupyter ...
Web安全机器学习入门》笔记第一
m0_58213960的博客
01-02 3643
第一:通向智能安全安全的旅途
web安全机器学习入门——2.机器学习概述
weixin_30301449的博客
04-08 480
目录 0 前置知识 什么是机器学习 机器学习的算法 机器学习首先要解决的两个问题 一些基本概念 数据集介绍 1 正文 数据提取   数字型   文本型 数据读取 0 前置知识 什么是机器学习 通过简单示例来理解什么是机器学习 机器学习的算法 属于监督式学习的算法有:回归模型,决策树,随机森林,K近邻算法,逻辑回归等算法 属于无监督式学习...
Web安全机器学习入门》一 1.4 人工智能在安全领域的应用
weixin_34226706的博客
09-08 468
1.4 人工智能在安全领域的应用 人工智能在安全领域的应用还属于起步阶段,各大安全公司以及互联网巨头都投入大量的人力物力,试图使用人工智能的技术来颠覆安全这个行业,目前在黄反鉴定、恶意链接、业务风控领域、病毒分析、APT检测方面都取得了不错的进展,典型案例的就是2015年的一次数据挖掘比赛。2015年,微软在Kaggle上发起了一个恶意代码分类的比赛,并...
机器学习web安全-K近邻算法
MrLeaper 的博客
02-08 672
使用K近邻算法检测异常操作1、数据清洗依次读取文件中每行操作命令,每100个命令组成一个操作序列,并且做了标记,统计最频繁使用的前50个命令和最不频繁使用的前50个命令: with open(filename) as f: i=0 x=[] for line in f: line=line.strip('\n') ...
Python-机器学习(二)-K近邻算法的原理与鸢尾花数据集实现详解
2401_84247101的博客
04-10 379
别在网上瞎学了,我最近也做了一些资源的更新,只要你是我的粉丝,这期福利你都可拿走。我先来介绍一下这些东西怎么用,文末抱走。
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
热门推荐
杨秀璋的专栏
09-15 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。本篇文,作者将分享两篇论文,机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文,希望对初学者有帮助,大神请飘过,谢谢各位看官!
第20篇:如何系统入门机器学习?——从迷茫到精通的认知升级之路
最新发布
maqh_csdn的博客
10-16 256
系统学习机器学习,不是知识的被动堆砌与理论的完美主义,而是以解决真实问题为导向,通过项目实践完成思维方式的主动重构与认知升级 。
机器学习笔记 - 机器学习/深度学习实战案例合集
学以致用 知行合一
06-05 2532
案例1、使用opencv的DNN模块调用caffe的GoogLeNet图像分类模型 案例2、使用Opencv的DNN模块调用Tensorflow的mobilenet对象检测模型 案例3、基于tensorflow2.0的手写数字识别,并导出pb模型供OpenCV的C++版本的DNN模块调用 案例4、基于OpenCV图像处理和手写数字识别进行数独求解 案例5、自定义数据集 + 标准前馈神经网络分类进行训练 案例6、自定义数据集 + 卷积神经网络分类进行训练 案例7、使用Opencv的DNN模块调用Caffe的人
web安全机器学习入门——3.1 KNN/k近邻
weixin_30509393的博客
04-08 330
目录 sklearn.neighbors.NearestNeighbors 参数/方法 基础用法 用于监督学习 检测异常操作(一) 检测异常操作(二) 检测rootkit 检测webshell sklearn.neighbors.NearestNeighbors 参数: 方法: 基础用法 print(__doc__) fr...
web安全机器学习入门笔记-图算法与知识图谱
foolisheddy
06-03 913
web安全机器学习入门笔记-图算法与知识图谱 web安全机器学习入门笔记-图算法与知识图谱 0.处理流程: 1.原始日志数据: 2.提取请求和refer字段: 3.导入图数据库 neo4j数据库脚本操作 逐行读取,生成节点以及关联关系: 更新节点出入度属性: 4.查询入度出度均为0或1的节点: 网页关联关系可视化结果: 参考: webshell具有很多访问特征,和有向...
web安全机器学习入门》第5K近邻算法读书笔记【下】
卧龙居
06-24 751
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络连接等信息。待分析数据集:KDD-99数据集,链接:http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html该数据集是从一个模拟的美国空军局域网上采集来的9个星期的网络连接数据,分成具有标识的训练数据和未加标识的测试数据。数据集已经进行了数据采集、清洗、提...
Web安全机器学习入门》学习笔记
怦然心动丶的博客
09-06 480
算法 K近邻算法(K-Nearest Neighbor,KNN) 1.1.1 概念 K个最近的邻居,及每个样本都可以用它最接近的K个邻居代表。核心思想是如果样本附近的K个最相邻样本大多数属于某一个类别,则该样本也属于这个类别,并具有这个类别样本的特性。(适合类域交叉或重叠较多的待分样本集) 1.1.2 算法步骤 step.1---初始化距离为最大值; step.2---计算未知...
Web安全机器学习入门读书笔记——K近邻算法
s1054436218的博客
01-25 1616
网络空间安全和AI几乎是当下最热的两门话题了,而AI安全人才是少之又少,抱着这个想法和自己的兴趣,最近在读兜哥出的一本书:《Web安全机器学习入门》。这几天会边读边写笔记,由于兜哥的代码都是用python2.7写的,个人比较喜欢python3.6,在写笔记的过程中可能与兜哥的源代码不符,顺便纠正一下书中的错误(试某个代码的时候一直跑错,到兜哥的GitHub上发现大家都说兜哥的代码的确写错了)。建
Web安全机器学习
mykeylock的博客
11-10 431
2015微软在Kaggle上的恶yi代码分类比赛: 冠军队伍的三个黄金特征: 1、恶yi代码图像 把一个二进制文件以灰度图的形式展现出来,利用图像中的纹理特征对恶yi代码进行聚类。 2、OPCode n-gram n-gram是计算某个语句出现的概率,用马尔科夫模型,结合条件概率计算得到, 这里的语句是操作语句,如Push Mov等操作语句。 ————————————————————...
WEB安全机器学习入门》笔记
u011311291的博客
01-12 4926
数据集: 1.KDD99 网络流量数据集,有dos,u2r,r21,probe等类行攻击 2.HTTP DATASET CSIC 2010,包含sql注入,缓冲区溢出,信息泄露,文件包含,xss等 3.SEA数据集,记录了UNIX用户的操作指令(例如cpp,sh等命令)。 4.ADFA-LD数据集,用户系统命令数据集 5.Alexa域名数据,提供了全球排名TOP一百万的网站域名。 6.
网络安全中的机器学习算法
智数与链
01-07 896
网络安全中的机器学习算法   相当多的文已经描述了机器学习在网络安全的应用以及保护我们免受网络攻击的能力。尽管如此,我们仍然需要仔细研究人工智能(AI)、机器学习(ML)和深度学习(DL),它们到底能不能像炒作内容所说的无所不能。 首先,我要让你失望了。我通过研究发现与图像识别或自然语言处理相比,机器学习永远不会成为网络安全的灵丹妙药,而这两个领域的机器学习应用正在蓬勃发展。因为总会有人试...
Web安全机器学习入门》一 导读
weixin_34345753的博客
09-08 221
前  言 近几年,人工智能无疑成为人们口中的热点话题,先是谷歌的AlphaGo,后有百度的度秘、无人车,微软必应搜索推出的小冰。这一系列人工智能产品的推陈出新,令人眼花缭乱,一时间给人的感觉是人工智能遍地开花。无论人们接受还是不接受,人工智能都在迅速渗透各行各业。网络安全相比之下是一个传统行业,基于规则以及黑白名单的检测技术已经发展到了一定的瓶颈...
机器学习入门:K-近邻算法原理与应用
机器学习—K-近邻算法[入门] K-近邻算法(K-Nearest Neighbour algorithm),又称为KNN算法,是数据挖掘技术中原理最简单的算法。该算法的工作原理是:给定一个已知标签类别的训练数据集,输入没有标签的新数据后,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值