机器学习笔记(6)---K-近邻算法(4)---使用K近邻算法检测异常操作之一

最新推荐文章于 2024-05-02 03:17:01 发布
最新推荐文章于 2024-05-02 03:17:01 发布
阅读量4.3k 收藏 12
点赞数 2
分类专栏: 机器学习 机器学习入门 文章标签: KNN web安全 机器学习KNN算法 K-近邻算法 机器学习在web安全中的应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/79313297
版权
这篇博客介绍了如何利用K-近邻(KNN)算法来检测Web安全中的异常操作。作者参考《Web安全之机器学习》,通过分析50个用户的操作日志,将数据转化为KNN可理解的特征,如命令出现频率等,并构建了训练和测试数据集。尽管实验结果显示预测结果均为正常操作,但作者强调从中仍能学到数据预处理和特征工程的方法。
摘要由CSDN通过智能技术生成

前言

接着前面三篇学习笔记《约会对象魅力程度分类》、《使用sklearn中的KNN算法》和《KNN手写识别系统》,本节记录使用K近邻算法检测异常操作,主要参考《Web安全之机器学习》 。
转载请注明出处:http://blog.csdn.net/rosetta

使用K近邻算法检测异常操作之一

实验数据及情况

实验数据在Schonlau个人网站中:http://www.schonlau.net/
Schonlau实验数据

训练数据包含50个用户的操作日志(网站上对应红框处“Masquerade Data(zip File)”)和一个标签文件label.txt(网站上对应的红框处“WIndows ascii file”)

在本机解压后是这样子的:
Schonlau数据解压后
实验数据一共收集了50个用户的操作命令(在理解代码时,只先考虑1个用户的即可),每个用户命令为15000条,前5000条是正常数据(这里隐含的一层意思是,我不需要特意指定标签了,你在代码中把我们全设置成0就可以了(本次实验就0表示正常操作;1表示异常操作)),后10000条随机包含了异常操作。

为了方便操作,会把数据集的每100个命令作为一个操作序列,所以15000条数据实际上看作150条,而前50条都是正常的,那么只有后面的100条需要标记,所以lable.txt中只有100条,而不是150条。在代码中使用KNN算法时,会把训练数据的label的前50条自动补上0,后100条从lable.txt中读取,这样就组合出了代码中实际的lable是150条的,和数据的条目能对应上了。

注意下本次实验样本数据的标签放在label.txt中,要以列方向去看,比如User1样本的标签对应第0列(因为加载到python list中是以0开始算的),User3就是第2列了。

另外在训练数据的时候,怎么把每组的100条数据清洗成易理解的数据?本实验是这么做的(针对1个用户来说):先统计15000条数据中最频繁使用的50个命令(后续称全局TOP50)和最不频繁使用的50个命令(后续称LOW50),然后统计每个100条数据中不重复命令的个数,及最频繁使用的前10个命令和是不频繁使用的10个命令,拿前10和后10分别和TOP50 LOW50取交集,生成一条数据的特征list:[无重复命令个数,和TOP50交集个数,和LOW50交集个数],生成这样的特征一共150条。

代码中的特征变量由user_cmd_feature list表示。

最低0.47元/天 解锁文章
sweird
关注
专栏目录
学习笔记(一):使用K近邻算法检测web异常操作
盐可
10-13 989
黑客入侵Web服务器后,通常会通过系统漏洞进一步提权,获得ROOT权限。我们可以通过搜集LINUX服务器的bash操作日志,通过训练识别出特定用户的操作习惯,然后进一步识别出异常操作的行为。 1.数据搜集        训练集包括50个用户的操作日志,每个日志包括15000个操作命令,其5000条都是正常操作,后面的10000条日志随机包含有异常操作,每100条操作作为一个操作序列,保存在...
机器学习笔记(7)---K-近邻算法(5)---使用K近邻算法检测异常操作之二
终身学习的程序猿
02-11 700
前言 上一节给出了使用K近邻算法检测异常操作的一种方法,现给出另外一种方法。 转载请注明出处:http://blog.csdn.net/rosetta 使用K近邻算法检测异常操作之二 这节的内容和上节总体上类型,区别在于,上一节比较的是最频繁使用的命令和最不频繁使用的命令,而这次使用全量比较。 全量比较的思路仅仅特征选择上不太一样,它先统计所有15000条样本不重复的命令条数(假设...
K临近算法检测异常操作(一)
qq_44465615的博客
11-23 2059
概述 K近邻(K-Nearest Neighbor,KNN算法机器学习领域使用最广 泛的算法之一,所谓KNN,就是K个最近的邻居的意思,说的是每个样 本都可以用它最接近的K个邻居来代表。KNN算法的核心思想是:如果 一个样本在特征空间的K个最相邻的样本的大多数属于某一个类 别,则该样本也属于这个类别,并具有这个类别上样本的特性。该方法在确定分类决策时,只依据最邻近的一个或者 几个样本的类别来决定待分样本所属的类别。KNN方法在类别决策时, 只与极少量的相邻样本有关。由于KNN方法主要靠周围有限的邻近
Web安全机器学习入门》笔记:第五章 5.4 K近邻检测异常操作(二)
mooyuan的博客
01-30 404
与5.2py不同之处: 1.相对于5.2的load_user_cmd,统计了去重的操作数,去掉了最高和最低频率相关 def load_user_cmd_new(filename): ''' 相对于5.2的load_user_cmd,去除了最频繁的N个命令与最不频繁的N个命令 ''' cmd_list=[] dist=[] with open(filename) as f: i=0 x=[] for line
Web安全机器学习入门》笔记:第五章 5.3 K近邻检测异常操作(一)
mooyuan的博客
01-30 617
原书配套代码5-2.py为python2运行环境,运行遇到如下问题: 1.告警 from sklearn.externals import joblib 警告: #DeprecationWarning: sklearn.externals.joblib is deprecated in 0.21 and will be removed in 0.23. Please import this functionality directly from joblib, which can be i
K-近邻算法KNN学习笔记
01-27
K-近邻算法(K-Nearest Neighbor, KNN)是一种基础的机器学习算法,主要用于分类和回归任务。它的核心思想是基于实例的学习,通过在训练数据集寻找与新样本最为相似的邻居来做出预测。KNN算法由Cover T和Hart P在...
最新版学习笔记—Python机器学习基础教程(2)k近邻(K-NN)算法—附完整代码
01-20
可视化将要处理的样本数据集3.1 forge数据集3.2 wave数据集4.k近邻4.1 k近邻分类4.2 分析k近邻分类(KNeighborsClassifier)4.3 k近邻回归4.4 分析k近邻回归(KNeighborsRegressor) 1.环境搭建 python版本最好是3.6...
我的机器学习笔记(三)--- 分类问题与K近邻算法
weixin_48927364的博客
04-15 1835
我的机器学习笔记(三)--- 分类问题与K近邻算法 一、分类问题的定义; 二、分类问题的类型; 三、常用的分类算法; 四、模型分类器的实现; 五、K近邻算法; 六、K近邻算法案例 --- 鸢尾花分类。
机器学习笔记1-k近邻算法的实现
最新发布
2401_84140080的博客
05-02 396
plt.show()3D图:import kNNplt.show()多图:import kNNplt.show()不熟悉的函数:add_subplot:用于指定图像的位置,例如111,指图像分成一行一列,在第一幅图上画scatter:画散点图,必须输入的有x,y坐标,可选项有颜色形状等zero:创建0矩阵归一化:处理不同取值范围的特征值时,通常需要将数值未硬化,如果将取值范围处理为0到1或者-1到1之间,下面公式可以将任意取值范围的特征值转化为0到1的区间内。
基于特征选择的K-means聚类异常检测方法
06-17
K-means算法是一种采用距离作为相似性评价指标的聚类算法,其快速简洁的特点在异常检测场景有一定的应用价值。但是,传统的K-means聚类算法在选取初始心和度量相似性上有一定缺陷。针对传统的K-means算法存在的问题,本文对原有的方法进行了改进。第一,在初始化聚类心时选取了一种优化的方法作为初始聚类心,替代原有的随机选择方法以减少计算量和迭代次数。第二,采用基于信息熵属性加权的样本相似性度量来进一步精确样本差异。实验过程,针对异常检测数据含有冗余特征,对样本数据做了冗余特征过滤,实验结果表明改进之后的方法较传统的K-means算法有更好的检测效果。
学习笔记(二):使用K近邻算法检测Web异常操作
盐可
10-13 634
使用全量比较,而不是最频繁和最不频繁的比较。 1.数据搜集        我们使用词集的模型,将全部命令去重后形成一个大型向量空间,每个命令代表一个特征,首先通过遍历全部命令,生成对应词集。 with open(filename) as f: for line in f: line = line.strip('\n') dist.append(line) fdist = F...
异常检测
道路,愿景与目标。
05-24 891
动机 异常检测用于检测一个物品或者数据,跟其他数据相比,是不是异常数据。例如,刚生产出的产品是不是残次品;计算机集群,一个计算机节点是否表现异常。 做法一 我们假设一组数据的各个维度服从高斯分布且相互独立,那么就可以用已有数据对每一个维度构建高斯分布模型,然后利用模型来对新的数据进行测试。具体步骤如下图所示: 如果我们有一些标记过的数据,那么我们将这些数据进行合理的分组,然后...
机器学习实战K-近邻算法遇到的几个错误
静默丶
08-24 1260
1.路径问题 解决方法:直接在代码的上一级目录打开命令行,输入python进入编译环境 2.使用reload(kNN) 出现Traceback (most recent call last): File "", line 1, in NameError: name 'reload' is not defined错误 解决方法:from imp import reload reloa
K近邻算法常见的问题
weixin_34221276的博客
10-19 721
第一个问题就是k值的选取问题?怎么快速找到k个邻居,尤其是在特征空间维数大及训练数据容量大时尤其必要。(1)k值的问题:当k值很小的时候,就相当于在较小的领域训练实例进行预测,学习的近似误差会减小,只有与输入实例较近的训练实例才会对预测结果起作用(反过来想,离的越近,肯定越相似,离得越远,相似度就差很大)。但缺点是学习的估计误差会增大,预测结果会对近邻的实例点非常敏感,如果...
机器学习实战》 第二章 k-近邻算法概述 学习过程遇到的问题总结
wanty_chen的博客
04-02 443
在学习《机器学习实战》第二章时,遇到了一些问题,总结如下:1、书所用python版本为2.6,本人操作使用的是python3.6,有一些函数如reload、input等用法都有变化:    raw_input-------->input    reload()------------>import importlib   importlib.reload()    iteritem...
机器学习】分类算法 - KNN算法(K-近邻算法)KNeighborsClassifier
热门推荐
wangyuxiang946的博客
08-22 1万+
K-近邻算法的核心思想是根据「邻居」来「推断」你的类别。
K-近邻算法
m0_74043999的博客
04-01 850
KNN(K-Nearest Neighbor)算法机器学习算法最基础、最简单的算法之一。它既能用于分类,也能用于回归。KNN通过测量不同特征值之间的距离来进行分类。KNN算法的核心思想是:在已知训练集数据及其标签的情况下,对于一个新输入的测试数据,算法会在训练集找到与这个测试数据最相似的K个邻居,然后根据这K个邻居的类别来决定测试数据的类别。计算距离:计算测试数据与训练集每个数据点之间的距离。选择邻居:按照距离大小对训练数据进行排序,选择距离最小的K个数据点作为邻居。投票决策。
机器学习100天-K邻近法 [KNN算法思想 + KNeighborsClassifier]
STILLxjy
01-18 832
K-NN算法计算过程: 上述过程(1)(2)(3)在寻找k个最近点时,采用了暴力搜索的思想。 也可以采取其他算法寻找处最近的k个点,如:BallTree, KDTree等。 计算流程事例: (1) (2) (3) (4) sklearn.neighbors.KNeighborsClassifier 参数说明: 官方API:https://scikit-learn.org/stable...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值