基于机器学习的攻击检测(一)

最新推荐文章于 2024-03-14 10:00:00 发布
最新推荐文章于 2024-03-14 10:00:00 发布
阅读量5.6k 收藏 36
点赞数 2
分类专栏: 项目总结 异常检测 安全检测 文章标签: 攻击检测 网络检测 安全检测

基于机器学习的攻击检测(一)

ReLuQ

ReLuQ

我们经历了admin/123456随便入的年代,经历了sql注入,XSS满天飞的年代,经历了反序列化,RCE批量刷的年代,直至今日,这些安全风险仍然存在并威胁着大量的网站系统。

------写在文前

世上本没有安全,黑的人多了,也就有安全了

------写在文前之二

在安全领域,攻防对抗时永恒不变的话题,从古至今的密码加密与解密,网站的攻击与防御,到如今基于图像活体的认证于欺骗。攻击与防御永远是此消彼长,忙个不停2333

笔者认为对于企业来说,安全和可用是缺一不可同等重要的,而针对网络,网站,信息系统的攻击从未停止过。

本文旨在对探究在攻击检测方面使用机器学习算法的可能性

想要进行这样一项任务,我们需要知道,一个正常访问和一个异常攻击有什么样的区别。如果你是一个网站的运营人员,你可能会在服务器的access.log中发现这样的奇奇怪怪的请求:

  1. http://www.aaa.com/ccc/?id=1/**/aNd/**/1>0
  2. http://www.aaa.com/ccc/?search=<script>alert(document.cookie)</script>
  3. http://www.aaa.com/ccc/?dict=../../../etc/passwd

第一次见看到你可能会疑惑,这是些啥?

这些就是有人在......盘你

第一条是黑客常用来探测ID参数是否存在sql注入的语句;第二条是黑客在搜索框中插入的一条XSS攻击payload;第三条则是黑客在尝试是否存在目录跳转

那么我们的任务,就是通过机器学习来找出这种令人厌恶的攻击行为

本次使用的数据是脱敏之后的真是网站数据,其中包含5000条正常用户访问产生的数据以及6000条人工/扫描器产生的数据

管说不做没用,先开始吧

老样子,先把要用的包导一导

import os
import sys
import numpy as np
import pandas as pd
import sklearn
import matplotlib.pyplot as plt
from urllib import parse as urlparse
import urllib
import math
from sklearn import preprocessing
from sklearn.linear_model import LogisticRegression
from sklearn.utils import shuffle
from sklearn.svm import SVC
import warnings
warnings.filterwarnings("ignore")

然后,使用pandas读取我们的normal.csv和risk.csv,这两个我那件分别存储了正常请求URL以及攻击请求URL:

normal_data = pd.read_csv("normal.csv")
abnormal_data = pd.read_csv("risk.csv")

我们想一想一个正常请求和一场请求到底有啥区别?

第一个:长度

打个比方,一个页面,可能正常情况下,我访问一个新闻页面,他的url是长这个样子的:

http://www.aaa.com/article.php?id=2333

而一条sql注入攻击呢?他可能长这个样子:

http://www.aaa.com/article.php?id=2333 and 200=201 union select 1,2,3,user(),5#--

因为它需要插入一条可以带入数据库查询的语句,那么会不会,他比正常请求看起来,要长一些呢?

我们将他作为一个特征:

def getlen(x):
	return len(x)

第二个:最长参数长度

再想一想,不对呀。可能这个链接本来就是参数比较多或者路径比较复杂导致他比较长呢?这不久误判了吗?好像是这样,因此我们在加一个特征:url中最长参数的长度:

def getfirstlen(x):
	parsed_tuple = urlparse.urlparse(urllib.parse.unquote(x))
	url_query = urlparse.parse_qs(parsed_tuple.query,True)
	url_first_arg_len = 0
	if len(url_query) == 0:
		url_first_arg_len = 0
	elif len(url_query) == 1:
		url_first_arg_len = len(url_query[list(url_query.keys())[0]][0])
	else:
		max_len = 0
		for i in url_query.keys():
			if len(url_query[i][0]) > max_len:
				max_len = len(url_query[i][0])
		url_first_arg_len = max_len
	return url_first_arg_len

第三个:熵

再看一看还会有什么,还是看到前面的攻击场景下的url,是不是看上去乱七八糟的?没错,混乱,一个攻击请求由于具有更多的字符或者想要隐藏自己等目的,一定会变得更加混乱,有很多甚至会进行一些编码转换(如base64,utf-7等等),混乱怎么表示?香浓告诉你:熵

def getshan(x):
	url = x
	tmp_dict = {}
	url_len = len(url)
	for i in range(0,url_len):
		if url[i] in tmp_dict.keys():
			tmp_dict[url[i]] = tmp_dict[url[i]] + 1
		else:
			tmp_dict[url[i]] = 1
	shannon = 0
	for i in tmp_dict.keys():
		p = float(tmp_dict[i]) / url_len
		shannon = shannon - p * math.log(p,2)
	return shannon

第四个:特征函数

再想一想,我一个正常的请求,里面可能会有select,union,script,etc/passwd这种玩意吗?不存在的,因此我们可以依照我们的安全经验,来看一看,是否存在一些具有攻击特征的字符:

比如:

sqli类:select and or union information_schema sleep banchmark delay if concat substr ascii updatexml ......

XSS类:script alert prompt onload onerror onmouseover onmousedown ......

RE类:system cmdexec exec eval cmd_shell......

文件读写删包含上传类:unlink fputs fgets file_get_contents ......

def getchar(x):
	lower = x
	url_ilg_sql = lower.count('select')+lower.count('and')+lower.count('or')+lower.count('insert')+lower.count('update')+lower.count('sleep')+lower.count('benchmark')+\
		lower.count('drop')+lower.count('case')+lower.count('when')+lower.count('like')+lower.count('schema')+lower.count('&&')+lower.count('^')+lower.count('*')+lower.count('--')+lower.count('!')+lower.count('null') +\
		lower.count('%')+lower.count(' ')
	url_ilg_xss = lower.count('script')+lower.count('>')+lower.count('<')+lower.count('&#')+lower.count('chr')+lower.count('fromcharcode')+lower.count(':url')+\
		lower.count('iframe')+lower.count('div')+lower.count('onmousemove')+lower.count('onmouseenter')+lower.count('onmouseover')+lower.count('onload')+lower.count('onclick')+lower.count('onerror')+lower.count('#')+lower.count('expression')+lower.count('eval')
	url_ilg_file = lower.count('./')+lower.count('file_get_contents')+lower.count('file_put_contents')+lower.count('load_file')+lower.count('include')+lower.count('require')+lower.count('open')
	count = url_ilg_sql + url_ilg_xss + url_ilg_file
	return count

OK,暂时就先这么多,当然还有很多其他的特征,比如说,headers头信息,比如说请求频率

对啦,还有标签,监督学习可不能没他:

def getlabel(x):
	if x == 0:
		return 0
	elif x == 1:
		return 1

数据处理与特征工程(最下面一行是由于笔者的risk.csv数据中还包含其他几个columns的数据,因此删除掉,其实这些数据都是可以进一步挖掘特征的):

normal_data['len'] = normal_data['url'].map(lambda x:getlen(x)).astype(int)
normal_data['first'] = normal_data['url'].map(lambda x:getfirstlen(x)).astype(int)
normal_data['shan'] = normal_data['url'].map(lambda x:getshan(x)).astype(float)
normal_data['char'] = normal_data['url'].map(lambda x:getchar(x)).astype(int)
normal_data['label'] = normal_data['url'].map(lambda x:getlabel(0)).astype(int)
normal_data = normal_data.drop(['url','len'],axis = 1)

abnormal_data['len'] = abnormal_data['url'].map(lambda x:getlen(x)).astype(int)
abnormal_data['first'] = abnormal_data['url'].map(lambda x:getfirstlen(x)).astype(int)
abnormal_data['shan'] = abnormal_data['url'].map(lambda x:getshan(x)).astype(float)
abnormal_data['char'] = abnormal_data['url'].map(lambda x:getchar(x)).astype(int)
abnormal_data['label'] = abnormal_data['url'].map(lambda x:getlabel(1)).astype(int)
abnormal_data = abnormal_data.drop(['url','len','id','risk_type','request_time','http_status','http_user_agent','host','cookie_uid','source_ip','destination_ip','last_update_time'],axis = 1)

接下来就是常规流程啦,归一化和一些其他的处理

train_data = pd.concat([normal_data,abnormal_data],axis = 0)
train_data.info()
train_data.head()
scaler = preprocessing.StandardScaler()
first_scaler_param = scaler.fit(train_data['first'].values.reshape(-1,1))
train_data['first_scaled'] = scaler.fit_transform(train_data['first'].values.reshape(-1,1),first_scaler_param)

lab = train_data['label']
train_data.drop(['label'],axis = 1,inplace = True)
train_data.insert(0,'label',lab)

划分一下训练集和验证集,然后带入我们的SVM训练,由于特征维度少,因此我们就使用linear作为svm的核函数

train_data = shuffle(train_data)
train = train_data.as_matrix()

y = train[0:8000,0]
x = train[0:8000,1:]
y_t = train[8000:,0]
x_t = train[8000:,1:]

lr = SVC(kernel='linear',C=0.4).fit(x,y)
res = lr.predict(x_t)

最终结果如下:

from sklearn.metrics import accuracy_score
accuracy_score(res, y_t)

OUT:0.8492163009404389

差强人意的结果,因为这只是一个4,5个维度的demo2333,笔者在使用多个更多维度并进行二阶交叉组合特征的情况下使用SVM达到了CV98%+的准确率,有兴趣可以试试哈~

编辑于 17:13

原文链接:https://zhuanlan.zhihu.com/p/58689080

 

 

J-JunLiang
关注
  • 2
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于机器学习建模的 XSS 攻击防范检测
qq_61890005的博客
08-26 618
摘  要:为了解决网络流量中跨站脚本攻击频发且攻击危害性高的问题,研究了基于机器学习算法建模的跨站脚本检测技术,从复杂的网络流量数据中发掘跨网站脚本(Cross-Site Scripting,XSS)攻击,然后结合专家经验和安全业务知识对数据进行打标学习,并采用机器学习技术训练算法模型,实现了对 XSS 攻击的自动化和智能检测功能。测试表明,在安全领域引入机器学习算法,能够准确识别复杂多变、高危恶意的 XSS 攻击,提高了安全设备对威胁攻击检测能力。内容目录:1  数据加工2  特征工程3  算法模型4 
使用机器学习检测 SQL 注入攻击.pdf
04-24
使用机器学习检测 SQL 注入攻击.pdf
机器学习检测SQL注入.zip
12-01
机器学习检测SQL注入 # ML-for-SQL-Injection 机器学习检测SQL注入 本项目是使用机器学习算法来分类SQL注入语句与正常语句: 使用了SVM,Adaboost,决策树,随机森林,逻辑斯蒂回归,KNN,贝叶斯等算法分别对SQL注入语句与正常语句进行分类。 data是收集的样本数据 file中存放的是训练好的各个模型 featurepossess.py是对原始样本进行预处理,提特征。 sqlsvm.py等py文件是训练模型 testsql是对训练好的模型进行测试,用准确率来度量模型效果。
人工智能安全-6-SQL注入检测
wangluoanquan111的博客
03-14 434
SQLIA:SQL injection attack SQL 注入攻击是一个简单且被广泛理解的技术,它把 SQL 查询片段插入到 GET 或 POST参数里提交到网络应用。由于SQL数据库在Web应用中的普遍性,使得SQL攻击在很多网站上都可以进行。并且这种攻击技术的难度不高,但攻击变换手段众多,危害性大,使得它成为网络安全中比较棘手的安全问题。
[当人工智能遇上安全] 6.基于机器学习的入侵检测攻击识别——以KDD CUP99数据集为例
杨秀璋的专栏
10-24 2万+
首先,祝大家1024程序员节快乐,祝CSDN越来越好,感谢大家十年的陪伴。基于机器学习的恶意代码检测方法一直是学界研究的热点。由于机器学习算法可以挖掘输入特征之间更深层次的联系,更加充分地利用恶意代码的信息,因此基于机器学习的恶意代码检测往往表现出较高的准确率,并且一定程度上可以对未知的恶意代码实现自动化的分析。下面让我们开始进行系统的介绍吧~
基于机器学习的web攻击检测系统
最新发布
05-08
基于机器学习的Web攻击检测系统是一种利用机器学习算法来自动识别和防御Web应用中的安全威胁的系统。该系统通过训练机器学习模型来识别恶意流量和攻击模式,并采取相应的防御措施来保护Web应用的安全。 以下是基于...
基于机器学习的入侵检测技术研究
04-27
器学习应用到入侵检测技术中,评估了各类机器学习算法在入侵检测中的效果; 在此基础上,通过研究各种机器学习算法在入侵检测中所展现的优势和缺陷,提 出了对应的改进模型和优化方法;最后对入侵的一种广泛而普遍的...
基于机器学习 APT 检测完整代码
01-17
**基于机器学习的APT检测完整代码** APT(Advanced Persistent Threat,高级持续性威胁)是一种针对特定组织或个人的长期、有组织的网络攻击活动。它通常由熟练的攻击者执行,目的是窃取敏感信息、监视目标活动或者...
基于机器学习网络入侵检测研究
04-27
网络入侵检测算法出发,探索了一系列基于机器学习算法的数据集处理和分类 算法优化方法,以期获得较好的检测效果。 在本文提出的网络入侵检测方法中,首先利用改进的K-means算法对训练集 中的样本进行数据筛选,并...
基于机器学习的DDos攻击检测
zxxmx的博客
04-02 9981
2基于的DDoS攻击检测方法 环境:pycharm+python3.4 2.1数据分析与特征工程 2.1.1数据来源 kaggle 2.1.2数据大小 训练集:80万条 测试集:30万条 2.1.3 数据概况 读取数据后打印数据,可以发现训练集为809361行、 78列的数据。我打印出各列数据的合计、均值、方差,发现列名为Fwd_PSH_Flags 、Bwd_PSH_Flags、Fwd_URG_...
DDoS_Corr_Engine:基于机器学习的DDoS检测(HTTP,UDP,TCP和ICMP Flood攻击
05-09
DDoS_Corr_Engine 使用DNNClassification进行DDoS攻击检测 所需包装的熊猫pip install pandas 张量流pip install tensorflow MySQL数据库pip install mysqldb 您可以通过对MySQLConnection.py进行一些更改来使用任何其他数据库 数据库架构您可以将csv文件导入到数据库中,并且将自动创建表
ALFASVMLib:ALFASVMLib-一个针对SVM的对抗标签翻转攻击的Matlab库
05-29
阿尔法虚拟机库 关于 SVM 上的对抗性标签翻转攻击的 Matlab 库 介绍 ALFASVMLib 是一个开源 Matlab 库,适用于对抗性机器学习领域的研究人员,尤其是那些有兴趣了解 SVM 学习算法对对抗性标签翻转(即最坏情况标签噪声)的脆弱性的人。 它库依赖于 Libsvm (ver>3.17) 和 CVX 求解器。 包含的标签翻转攻击算法的目标是通过翻转训练数据中的多个标签,最大限度地降低 SVM 对未知数据的分类准确度。 我们为那些有兴趣探索机器学习算法的可能弱点和设计更强大的基于学习的系统的研究人员发布这个库。 如果您下载并使用这个库,特别是出于研究目的,请引用我们的相关工作如下: Xiao, Huang, Battista Biggio, Blaine Nelson, Han Xiao, Claudia Eckert, and Fabio Roli. Support
基于机器学习攻击检测(二)下-lstm实现
jliang3的博客
03-10 2294
基于机器学习攻击检测(二)下-lstm实现 ReLuQ 交叉学科就像交叉特征一样有趣 1 人赞同了该文章 上一篇我们讲了一下lstm的简单结构以及正向传播的过程,那么这一期回归我们的目标,使用lstm来检测攻击 我们知道,循环神经网络的一大优势就是他能够保存一些结构化数据的序列信息并对对其作较好的理解,那么对于我们的攻击,是否也可以这样做呢? 看看我们在:基于机器学习攻击检测(...
[网络安全自学篇] 二十四.基于机器学习的入侵检测攻击识别——以KDD CUP99数据集为例
热门推荐
杨秀璋的专栏
11-23 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。这篇文章将分享机器学习安全领域的应用,并复现一个基于机器学习的入侵检测攻击识别。严格意义上来说,这篇文章是数据分析,它有几个亮点: (1) 详细介绍了数据分析预处理中字符特征转换为数值特征、数据标准化、数据归一化,这都是非常基础的工作。 (2) 结合入侵检测应用KNN实现分类。 (3) 绘制散点图采用序号、最小欧式距离、类标,ROC曲线绘制都是之
巧妙使用机器学习的方法来检测IOT设备中的DDOS攻击
qq_44005305的博客
02-10 323
超过90%的攻击包上小于100字节的,而正常的包是在100~1200字节之间的。而正常的流量包的大小从小到大都有,小的表示连接正常,大的表示视频流数据。无状态的特征是主要的包头域,有状态的特征是短时间窗口内聚集的流信息,需要有限的内存来支持在路由器上的应用。而DOS攻击的流量的包间隔的时间一般都很短。轻量级的特征:路由器必须要处理高带宽的流量,所以所有的特征都要说轻量级的。最后,研究人员把正常流量和DoS流量按照IP地址、MAC地址、包发送时间等融合在一起,让模拟的流量更像真实环境中产生的流量。
干货 | 机器学习在web攻击检测中的应用实践
emprere的博客
12-11 1015
相关阅读:Python的开源人脸识别库:离线识别率高达99.38%2017企业阵亡最全名单出炉,“共享经济”占半壁江山互联网技术(java框架、分布式、集群)干货视频大全...
使用机器学习异常检测攻击行为
focus on security
12-13 1321
一般现有的内部威胁检测算法都会被转化为异常检测来做,我个人认为在内部威胁检测领域除了异常检测这一killing part之外,识别攻击动机以及区分异常和攻击也是重点(大型立flag现场:另一篇论文中了,我就写这个),首先这篇文章就对现有的异常检测算法做一个综述。 异常检测算法 内部威胁检测主要是基于用户的网络、文件、设备、邮件等审计日志构建正常用户行为模型,之后使用包括图、机器学习、集成学习等方法对当前行为进行异常检测。 •基于机器学习的异常检测方法 使用包括SVM、朴素贝叶斯等方法对用户行为模型.
Web攻击检测机器学习深度实践
Coisini的博客
06-25 3570
一、概述 1.1 传统WAF的痛点 传统的WAF,依赖规则和黑白名单的方式来进行Web攻击检测。该方式过分依赖安全人员的知识广度,针对未知攻击类型无可奈何;另一方面即使是已知的攻击类型,由于正则表达式天生的局限性,以及shell、php等语言极其灵活的语法,理论上就是可以绕过,因此误拦和漏拦是天生存在的;而提高正则准确性的代价就是添加更多精细化正则,由此陷入一个永无止境打补丁的漩涡,拖累了整体性能...
基于机器学习的WAF模型探究1
ailx10
11-20 475
解决的问题:分发器引擎自适应报文字段数量,批量处理整个报文的所有字段攻击检测引擎自适应报文字段数量,批量处理整个报文的所有字段分发器引擎采用循环神经网络,可以识别正常、XSS、SQL、PHP分发器将攻击字段聚合(字段-引擎)到具体的攻击检测引擎,批处理攻击字段攻击检测引擎采用支持向量机,可以识别正常、XSS、SQL、PHP攻击检测引擎反查有效攻击字段(有效攻击-字段)举个栗子:下面的测试代码中,向...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值