检测用户命令序列异常——使用LSTM分类算法【使用朴素贝叶斯,类似垃圾邮件分类的做法也可以,将命令序列看成是垃圾邮件】...

最新推荐文章于 2024-11-29 18:49:12 发布
转载 最新推荐文章于 2024-11-29 18:49:12 发布 · 1.2k 阅读 · 1
文章标签:

#人工智能 #操作系统 #python

本文介绍了一种基于Linux服务器bash操作日志的行为分析方法,通过训练识别特定用户的操作习惯,进而发现异常行为。使用SEA数据集,涵盖70多个UNIX系统用户的行为日志,包括15000条命令,通过机器学习算法识别内部伪装者攻击。

通过 搜集 Linux 服务器 的 bash 操作 日志, 通过 训练 识别 出 特定 用户 的 操作 习惯, 然后 进一步 识别 出 异常 操作 行为。

使用 SEA 数据 集 涵盖 70 多个 UNIX 系统 用户 的 行为 日志, 这些 数据 来自 UNIX 系统 acct 机制 记录 的 用户 使用 的 命令。 SEA 数据 集中 每个 用户 都 采集 了 15000 条 命令, 从 用户 集合 中 随机 抽取 50 个 用户 作为 正常 用户, 剩余 用户 的 命令 块 中 随机 插入 模拟 命令 作为 内部 伪装 者 攻击 数据。其中 训练 集合 大小 为 80, 测试 集合 大小 为 70。


数据集示意:

cpp
sh
xrdb
cpp
sh
xrdb
mkpts
test
stty
hostname
date
echo
[
find
chmod
tty
echo
env
echo
sh
userenv
wait4wm
xhost
xsetroot
reaper
xmodmap
sh
[
cat
stty
hostname
date
echo
[
find
chmod
tty
echo
sh
more
sh
more
sh
more
sh
more
sh
more
sh
more
sh
more
sh
more
sh
more
sh
more
sh
more
sh
launchef
launchef
sh
9term
sh
launchef
sh
launchef
hostname
[
cat
stty
hostname
date
echo
[
find
chmod
tty
echo
sh
more
sh
more
sh
ex
sendmail
sendmail
sh
MediaMai
sendmail
sh
rm
MediaMai
sh
rm
MediaMai
launchef
launchef
sh
sh
more
sh
sh
rm
MediaMai
netstat
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
netscape
sh
netscape
more
sh
rm
sh
MediaMai
=
telnet
tput
netscape
netscape
netscape
netscape
netscape

 

# -*- coding:utf-8 -*-

import sys

import re
import numpy as np


import nltk
import csv
import matplotlib.pyplot as plt
from nltk.probability import FreqDist
from sklearn.feature_extraction.text import CountVectorizer

from sklearn import cross_validation
from tflearn.data_utils import to_categorical, pad_sequences
from tflearn.datasets import imdb
import tflearn

#测试样本数
N=80

def load_user_cmd_new(filename):
    cmd_list=[]
    dist=[]
    with open(filename) as f:
        i=0
        x=[]
        for line in f:
            line=line.strip('\n')
            x.append(line)
            dist.append(line)
            i+=1
            if i == 100:
                cmd_list.append(x)
                x=[]
                i=0

    fdist = FreqDist(dist).keys()
    return cmd_list,fdist

def load_user_cmd(filename):
    cmd_list=[]
    dist_max=[]
    dist_min=[]
    dist=[]
    with open(filename) as f:
        i=0
        x=[]
        for line in f:
            line=line.strip('\n')
            x.append(line)
            dist.append(line)
            i+=1
            if i == 100:
                cmd_list.append(x)
                x=[]
                i=0

    fdist = FreqDist(dist).keys()
    dist_max=set(fdist[0:50])
    dist_min = set(fdist[-50:])
    return cmd_list,dist_max,dist_min

def get_user_cmd_feature(user_cmd_list,dist_max,dist_min):
    user_cmd_feature=[]
    for cmd_block in user_cmd_list:
        f1=len(set(cmd_block))
        fdist = FreqDist(cmd_block).keys()
        f2=fdist[0:10]
        f3=fdist[-10:]
        f2 = len(set(f2) & set(dist_max))
        f3=len(set(f3)&set(dist_min))
        x=[f1,f2,f3]
        user_cmd_feature.append(x)
    return user_cmd_feature

def get_user_cmd_feature_new(user_cmd_list,dist):
    user_cmd_feature=[]
    for cmd_list in user_cmd_list:
        x=[]
        for cmd in  cmd_list:
            v = [0] * len(dist)
            for i in range(0, len(dist)):
                if cmd == dist[i]:
                    v[i] = 1
            x.append(v)
        user_cmd_feature.append(x)
    return user_cmd_feature

def get_label(filename,index=0):
    x=[]
    with open(filename) as f:
        for line in f:
            line=line.strip('\n')
            x.append( int(line.split()[index]))
    return x


def do_knn(x_train,y_train,x_test,y_test):
    neigh = KNeighborsClassifier(n_neighbors=3)
    neigh.fit(x_train, y_train)
    y_predict=neigh.predict(x_test)
    score = np.mean(y_test == y_predict) * 100

    print  score


def do_rnn(x_train,x_test,y_train,y_test):
    global n_words
    # Data preprocessing
    # Sequence padding
    print "GET n_words embedding %d" % n_words


    #x_train = pad_sequences(x_train, maxlen=100, value=0.)
    #x_test = pad_sequences(x_test, maxlen=100, value=0.)
    # Converting labels to binary vectors
    y_train = to_categorical(y_train, nb_classes=2)
    y_test = to_categorical(y_test, nb_classes=2)

    # Network building
    net = tflearn.input_data(shape=[None, 100,n_words])
    net = tflearn.lstm(net, 10,  return_seq=True)
    net = tflearn.lstm(net, 10, )
    net = tflearn.fully_connected(net, 2, activation='softmax')
    net = tflearn.regression(net, optimizer='adam', learning_rate=0.1,name="output",
                             loss='categorical_crossentropy')

    # Training

    model = tflearn.DNN(net, tensorboard_verbose=3)
    model.fit(x_train, y_train, validation_set=(x_test, y_test), show_metric=True,
             batch_size=32,run_id="maidou")


if __name__ == '__main__':
    user_cmd_list,dist=load_user_cmd_new("../data/MasqueradeDat/User7")
    #print  "Dist:(%s)" % dist
    n_words=len(dist)
    user_cmd_feature=get_user_cmd_feature_new(user_cmd_list,dist)

    labels=get_label("../data/MasqueradeDat/label.txt",6)
    y=[0]*50+labels

    x_train=user_cmd_feature[0:N]
    y_train=y[0:N]

    x_test=user_cmd_feature[N:150]
    y_test=y[N:150]

    #print x_train

    do_rnn(x_train,x_test,y_train,y_test)

 效果:

Training Step: 30  | total loss: 0.10088 | time: 1.185s
| Adam | epoch: 010 | loss: 0.10088 - acc: 0.9591 | val_loss: 0.18730 - val_acc: 0.9571 -- iter: 80/80
--

目标检测YOLO实战应用案例100讲-基于深度学习的船舶目标检测与跟踪算法
qq_36130719的博客
05-02 276
中国海岸线漫长,国土面积巨大,具有得天独厚的内河以及海洋航运条件,为能源运 输、进出口贸易发展提供了便利。随着社会经济快速发展,以长江、珠江、淮河等水系为 主体,我国内河航运建设与发展取得了显著成效,港航基础设施和运输规模位居世界前列, 已成为综合运输体系的重要组成部分[1]。2020年交通运输部在《内河航运发展纲要》中 指出,未来15年里,将继续开发千吨级内河航道,增加内河运输货物周转量,缩短重要 航道和港口应急时间,增加投入使用新能源和清洁能源船,并使用人工智能技术促进内河 航运信息化发展。
面试算法简述
平原的博客
05-08 2386
文章目录一、机器学习生成模式和判别模式的区别:感知机:K-means:k近邻:朴素贝叶斯:极大似然估计:逻辑回归(LR):L1和L2的区别FP(FP-growth)关联算法支持向量机(SVM):决策树:bagging随机森林:boosting梯度提升和梯度下降的区别:GBDTXGBoost:GBDT和XGBoost区别(百面机器学习):降维LDA(隐含狄利克雷分布):EM算法:动态规划图模型发展史...
基于lstm网络的垃圾邮件处理——NLP
12-24
详细介绍了如何用lstm网络实现给定数据集的垃圾分类识别,并实现roc曲线评估可视化。实验报告,实验ppt全都在压缩包中
基于用户命令行为的内部威胁检测实验
weixin_33962621的博客
07-03 464
0×00 前言 之前在FreeBuf上看到过针对机器学习在安全领域应用的介绍,或许在信息爆炸的大数据时代,从数据中寻找安全解决方案不失为一种好的选择。概念容易理解,但是如果项目落地到底是什么样呢?作为抛砖引玉,今天我就为大家带来一个基于用户命令行为数据的内部威胁检测实验,希望在FreeBuf上可以涌现更多机器学习在安全领域应用研究的好文章。 0×01...
利用贝叶斯算法实现垃圾邮件分类
12-14
bayes.py为主体代码,利用终端输入python调用程序,代码中包含中文注释。也包含测试集与训练集。
朴素贝叶斯垃圾邮件分类
weixin_54298275的博客
12-01 2905
贝叶斯垃圾分类
机器学习算法详解及其实现汇总
吴明耀の博客
10-02 2604
机器学习 代码连接: https://github.com/wumingyao/ML.git 决策树算法 基于树结构来进行决策(分类)的。 基本流程: 根据一个事物的不同属性来对事物进行划分。 举例: “这是好瓜吗?” “它的颜色是青绿色的、根蒂是蜷缩的、敲声是......,所以结论是:这是个好瓜”。 通过西瓜的不同属性来区分好瓜还是坏瓜。 划分选择 决策树学习...
面经整理计划——第六弹
qq_44754035的博客
03-16 933
算法&&八股文&&其他 文章目录算法&&八股文&&其他一、算法篇二、八股文三、其他待解决 (欢迎评论区或私信解答) 一、算法篇 给定一个数组 prices ,它的第 i 个元素 prices[i] 表示一支给定股票第 i 天的价格。 你只能选择 某一天 买入这只股票,并选择在 未来的某一个不同的日子 卖出该股票。设计一个算法来计算你所能获取的最大利润。 返回你可以从这笔交易中获取的最大利润。如果你不能获取任何利润,返回 0 分析:简单题
CV面试题(持续更新!!!)
热门推荐
justsolow的博客
05-11 2万+
CV面试题 1、反卷积 反卷积又叫做转置卷积,在计算机中计算的时候,转置卷积先将卷积核转为稀疏矩阵C的形式,然后计算的时候正向传播的时候左乘这个稀疏矩阵C的转置,反向传播的时候左乘这个稀疏矩阵C。 一般的卷积运算可以看成是一个其中非零元素为权重的稀疏矩阵C与输入的图像进行矩阵相乘,反向传播时的运算实质为C的转置与loss对输出y的导数矩阵的矩阵相乘 反卷积的运算过程与卷积正好相反,是正向传播时左乘...
简单贝叶斯实现垃圾邮件分类
06-09
简单的邮件分类使用bayes分类器,100行正常邮件和100行垃圾邮件
基于贝叶斯公式的垃圾邮件分类
11-23
基于贝叶斯公式的垃圾邮件分类 包含邮件数据以及R语言代码,有视频演示,有讲解ppt
1本书:《 Web安全之机器学习入门》
02-20
京东链接 网盘链接 [网盘链接提取码:c8xm](链接: ://pan.baidu.com/s/1eyt7k5KZ_fR2Xf8wOa3cIg) 目录 前言 先是Google的AlphaGo,后有百度的度秘,无人车,微软必应搜索推出的小冰也是新闻不断。这是人工智能产品的推陈出新,令人眼花缭乱,一时间给人的感觉是人工智能遍地开花。无论有人接受还是不接受,人工智能都在Swift渗透各行各业。安全作为一个传统行业,基于规则以及黑白列表的检测技术已经发展到了一定的高度,而利益驱动的黑产团伙,其技术的发展已经远远超乎我们的想象。如何利用人工智能的力量,提升安全行业的整体检测与防护能力,成为各大安全厂商研究的?。国内安全行业,经过BAT3以及大量新兴的创业企业进入企业安全领域,他们利用自身固有的数据搜集,处理,积累以及人工智能方面的优势,不断改变着着整个安全行业,安全产品的形态从硬件传统安全企业也必
使用带有Deeplearning4j的长短期记忆(LSTM)神经网络进行垃圾邮件检测
04-11
使用Deeplearning4j在Scala中检测垃圾邮件
机器学习——朴素贝叶斯算法垃圾邮件分类
qq_53866837的博客
12-12 4396
垃圾邮件分类
02.朴素贝叶斯-垃圾邮件分类
LWY_Xing的博客
12-01 547
import matplotlib.pyplot as plt import pandas as pd import string import codecs import os #import jieba from sklearn.feature_extraction.text import CountVectorizer from sklearn import naive_bayes as bayes from sklearn.model_selection import train_test_spli
web安全之机器学习入门——3.1 KNN/k近邻
weixin_30509393的博客
04-08 301
目录 sklearn.neighbors.NearestNeighbors 参数/方法 基础用法 用于监督学习 检测异常操作(一) 检测异常操作(二) 检测rootkit 检测webshell sklearn.neighbors.NearestNeighbors 参数: 方法: 基础用法 print(__doc__) fr...
[Kaggle] Spam/Ham Email Classification 垃圾邮件分类(RNN/GRU/LSTM
Michael是个半路程序员
12-12 4147
文章目录1. 读入数据2. 文本处理3. 建模4. 训练5. 测试 练习地址:https://www.kaggle.com/c/ds100fa19 相关博文 [Kaggle] Spam/Ham Email Classification 垃圾邮件分类(spacy) 1. 读入数据 读取数据,test集没有标签 import pandas as pd import numpy as np train = pd.read_csv("train.csv") test = pd.read_csv("test.cs
机器学习模型从理论到实战|【008-朴素贝叶斯垃圾邮件分类
最新发布
qq_56997043的博客
11-29 1084
朴素贝叶斯是一种基于条件概率的分类方法,利用贝叶斯定理来预测给定特征的条件下,数据点属于某一类别的概率。该算法的核心假设是特征之间相互独立,即在给定类别的条件下,特征之间没有依赖关系。朴素贝叶斯是一种基于贝叶斯定理的简单而高效的分类算法,特别适用于文本分类任务,如垃圾邮件分类和情感分析。尽管其假设特征之间相互独立的前提可能在某些情况下不成立,但在许多实际问题中,朴素贝叶斯仍然表现得相当好。通过合理的数据预处理和特征提取,朴素贝叶斯能够提供快速且准确的分类结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值