《Web安全之机器学习入门》笔记:第五章 5.5 K近邻检测Rootkit

最新推荐文章于 2025-01-20 10:48:14 发布
最新推荐文章于 2025-01-20 10:48:14 发布
阅读量651 收藏 4
点赞数 1
分类专栏: Web安全之机器学习入门 文章标签: web安全 机器学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/122752975
版权

1.Rootkit是什么?

“Rootkit”中root术语来自于unix领域。由于unix主机系统管理员账号为root账号,该账号拥有最小的安全限制,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。然而能够“root”一台主机并不意味着能持续地控制它,因为管理员完全可能发现了主机遭受入侵并采取清理措施。因此Rootkit的初始含义就在于“能维持root权限的一套工具”。

毫无疑问,这是一个恶意软件

2.kddcup99数据集

该数据集是从一个模拟的美国空军局域网上采集来的9周的网络连接数据,分成具有标识的训练数据和未加标识的测试数据。KDD数据集中每个连接用41个特征来描述,以csv格式写成。

加载数据集

def load_kdd99(filename):
    x=[]
    with open(filename) as f:
        for line in f:
            line=line.strip('\n')
            line=line.split(',')
            x.append(line)
    return x

3.特征化函数get_rootkit2andNormal

(1)获取标签,即是否为Rootkit,参考代码如下:

def get_rootkit2andNormal(x):
    v=[]
    w=[]
    y=[]
    for x1 in x:
        if ( x1[41] in ['rootkit.','normal.'] ) and ( x1[2] == 'telnet' ):
            if x1[41] == 'rootkit.':
                y.append(1)
                print('len(x)',len(x1), x1)
            else:
                y.append(0)

本实验为检测基于telnet的Rootkit行为,故而代码中仅仅选取telnet相关的标签,仅为是Rootkit和非Rootkit,如下为打印信息:

len(x) 42 ['804', 'tcp', 'telnet', 'SF', '1589', '36386', '0', '0', '3', '7', '0', '1', '49', '1', '0', '145', '1', '0', '0', '0', '0', '0', '1', '1', '0.00', '0.00', '0.00', '0.00', '1.00', '0.00', '0.00', '18', '4', '0.22', '0.17', '0.06', '0.00', '0.00', '0.00', '0.06', '0.25', 'rootkit.']
len(x) 42 ['988', 'tcp', 'telnet', 'SF', '1773', '32209', '0', '0', '0', '4', '0', '1', '57', '1', '0', '51', '7', '5', '0', '0', '0', '0', '1', '1', '0.00', '0.00', '0.00', '0.00', '1.00', '0.00', '0.00', '255', '104', '0.41', '0.03', '0.00', '0.00', '0.33', '0.77', '0.02', '0.01', 'rootkit.']

很明显每行信息的最后一列(共42列,即为该连接的第41个特征),因此源码中选择判断第41列特征是否为Rootkit,并基于此进行标签。

只不过需要注意的是,整个数据集中仅有2个Rootkit标签的报文,基于此进行训练并测试,这样的测试结果有效性有待讨论,仅仅当其是一个例子吧,不要太较真。

(2)获取数据特征:挑选Rootkit有关的9:21项特征作为样本特征

def get_rootkit2andNormal(x):
    v=[]
    w=[]
    y=[]
    for x1 in x:
        if ( x1[41] in ['rootkit.','normal.'] ) and ( x1[2] == 'telnet' ):
            if x1[41] == 'rootkit.':
                y.append(1)
            else:
                y.append(0)


            x1 = x1[9:21]
            v.append(x1)
    for x1 in v :
        v1=[]
        for x2 in x1:
            v1.append(float(x2))
        w.append(v1)
    return w,y

对比输出v和w,返回的特征值将其浮点化

v [['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '1', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '1', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '2', '1', '0', '9', '1', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '1', '0', '0', '0', '0', '0', '0', '0', '0'], ['3', '0', '1', '0', '1', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '30', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['5', '0', '1', '7', '0', '0', '6', '12', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['1', '0', '1', '2', '1', '0', '4', '0', '0', '0', '0', '0'], ['7', '0', '1', '49', '1', '0', '145', '1', '0', '0', '0', '0'], ['0', '3', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '3', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '2', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '3', '0', '0', '0', '0', '0', '1', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '796', '1', '2', '878', '0', '0', '1', '0', '0'], ['0', '0', '1', '4', '0', '0', '0', '0', '0', '0', '0', '0'], ['4', '0', '1', '57', '1', '0', '51', '7', '5', '0', '0', '0'], ['0', '3', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '1', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['4', '0', '1', '381', '1', '0', '401', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '3', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '4', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '611', '1', '2', '684', '0', '0', '3', '0', '0'], ['1', '0', '1', '2', '1', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '16', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '5', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '6', '0', '0', '0', '13', '0', '0', '0', '0'], ['0', '0', '1', '4', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '2', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['2', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '2', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '6', '1', '0', '3', '0', '0', '0', '0', '0'], ['0', '0', '1', '5', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '3', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '0', '0', '0', '0', '0', '0', '0', '0', '0'], ['0', '0', '1', '4', '0', '0', '0', '0', '0', '0', '0', '0']]
w [[0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 2.0, 1.0, 0.0, 9.0, 1.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [3.0, 0.0, 1.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 30.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [5.0, 0.0, 1.0, 7.0, 0.0, 0.0, 6.0, 12.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [1.0, 0.0, 1.0, 2.0, 1.0, 0.0, 4.0, 0.0, 0.0, 0.0, 0.0, 0.0], [7.0, 0.0, 1.0, 49.0, 1.0, 0.0, 145.0, 1.0, 0.0, 0.0, 0.0, 0.0], [0.0, 3.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 3.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 2.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 3.0, 0.0, 0.0, 0.0, 0.0, 0.0, 1.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 796.0, 1.0, 2.0, 878.0, 0.0, 0.0, 1.0, 0.0, 0.0], [0.0, 0.0, 1.0, 4.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [4.0, 0.0, 1.0, 57.0, 1.0, 0.0, 51.0, 7.0, 5.0, 0.0, 0.0, 0.0], [0.0, 3.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [4.0, 0.0, 1.0, 381.0, 1.0, 0.0, 401.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 3.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 4.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 611.0, 1.0, 2.0, 684.0, 0.0, 0.0, 3.0, 0.0, 0.0], [1.0, 0.0, 1.0, 2.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 16.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 5.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 6.0, 0.0, 0.0, 0.0, 13.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 4.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 2.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [2.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 2.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 6.0, 1.0, 0.0, 3.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 5.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 3.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0], [0.0, 0.0, 1.0, 4.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0, 0.0]]

4.完整代码

作者源代码为python2,这里改为python3

# -*- coding:utf-8 -*-

from sklearn import model_selection
from sklearn.neighbors import KNeighborsClassifier

def load_kdd99(filename):
    x=[]
    with open(filename) as f:
        for line in f:
            line=line.strip('\n')
            line=line.split(',')
            x.append(line)

    return x

def get_rootkit2andNormal(x):
    v=[]
    w=[]
    y=[]
    for x1 in x:
        if ( x1[41] in ['rootkit.','normal.'] ) and ( x1[2] == 'telnet' ):
            if x1[41] == 'rootkit.':
                y.append(1)
                print('len(x)',len(x1), x1)
            else:
                y.append(0)


            x1 = x1[9:21]
            v.append(x1)
    for x1 in v :
        v1=[]
        for x2 in x1:
            v1.append(float(x2))
        w.append(v1)
    return w,y

if __name__ == '__main__':
    v=load_kdd99("../data/kddcup99/corrected")
    x,y=get_rootkit2andNormal(v)
    clf = KNeighborsClassifier(n_neighbors=3)
    print(model_selection.cross_val_score(clf, x, y, n_jobs=-1, cv=10))

5.测试结果:

作者的准确率为90%,这里与其一致。

10折交叉验证

 note:这里有如下报警信息,由于本文使用10折交叉验证,但是y=1就2个,实在是太少了,通常是不应该小于10个的,这也是为什么这一小节需要学习的是一个思维就好了,不要太较真,真正使用时不能构造这种不均衡的数据集来进行训练和测试。

Warning: The least populated class in y has only 2 members, which is too few. The minimum number of members in any class cannot be less than n_splits=10.
  % (min_groups, self.n_splits)), Warning)

使用K近邻算法检测RootkitWebShell
MrLeaper 的博客
02-08 1202
使用K近邻算法检测Rootkit基于telnet连接的rootkit检测流程:KDD 99 数据(41维特征)->筛选与rootkit相关特征->基于tcp内容的特征->向量化->与rootkit相关的特征向量->KNN算法+10折交叉验证->评估效果1、数据搜集和清洗这里用的是KDD 99数据集,筛选标记为rootkit和normal且是telnet协议的数据...
机器学习笔记(7)---K-近邻算法(5)---使用K近邻算法检测异常操作之二
终身学习的程序猿
02-11 719
前言 上一节给出了使用K近邻算法检测异常操作的一种方法,现给出另外一种方法。 转载请注明出处:http://blog.csdn.net/rosetta 使用K近邻算法检测异常操作之二 这节的内容和上节总体上类型,区别在于,上一节比较的是最频繁使用的命令和最不频繁使用的命令,而这次使用全量比较。 全量比较的思路仅仅特征选择上不太一样,它先统计所有15000条样本中不重复的命令条数(假设...
学习笔记(三):使用K近邻算法检测Rootkit
盐可
10-14 696
      Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身以及指定的文件,进程和网络链接等信息。 1.数据搜集        KDD 99 TCP连接内容特征包括hot ,num_faild_logins ,logged_in ,num_compromised ,root_shell ,su_attempted ,num_root ,num_file_creations ,...
学习宝书使用K近邻算法检测异常操作、检测RookitWebShell
不忘初心,护天下安全!
02-19 1285
学习《Web安全机器学习》,颇有收获。 1.检测异常操作 因为我的python版本是3.7,和作者有所不同。修改了很多部分后,暂时的KNN.py代码为: # -*- coding:utf-8 -*- import sys import urllib from urllib.parse import urlparse import re from hmmlearn import hmm ...
机器学习web安全-K近邻算法
MrLeaper 的博客
02-08 602
使用K近邻算法检测异常操作1、数据清洗依次读取文件中每行操作命令,每100个命令组成一个操作序列,并且做了标记,统计最频繁使用的前50个命令和最不频繁使用的前50个命令: with open(filename) as f: i=0 x=[] for line in f: line=line.strip('\n') ...
Rootkit恶意软件检测.zip
02-15
Rootkit恶意软件检测是一个深入探讨网络安全领域的专题,主要聚焦于如何使用机器学习技术来识别和防御这类隐蔽性极强的威胁。Rootkit是一种特殊的恶意软件,它能够隐藏自身以及受感染系统的其他部分,使得普通的安全...
TorRootkit:为Windows 10开发的python3 Rootkit,用于Tor隐藏服务
03-22
Tor Rootkit Python 3独立Windows 10 Rootkit。 网络通过隐藏的服务工作。 安装 用git克隆: git clone https://github.com/emcruise/TorRootkit.git 将目录更改为存储库: cd ./TorRootkit 听众 侦听器旨在在...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 016-网络安全应急技术与实践(Web层-应急响应技术总结)
热门推荐
时光隧道
02-11 9万+
Web安全事件应急响应技术是指针对Web应用程序遭受风险和安全漏洞的事件,如网络攻击、数据泄露、恶意软件等,迅速采取措施进行监测、分析和应对的技术手段。应急响应技术描述1. 监测和日志分析通过实时监测和分析Web应用程序的日志,以便发现异常活动和潜在的安全威胁。2. 威胁情报收集与分析收集和分析来自多个来源的威胁情报,以帮助识别和应对潜在威胁。3. 漏洞扫描和漏洞管理通过定期对Web应用程序进行漏洞扫描,及时发现和修复潜在的安全漏洞。4. 网络流量分析。
secScanner是操作系统安全扫描工具,旨在为操作系统提供安全加固、漏洞扫描、rootkit入侵检测等功能
04-13
secScanner是操作系统安全扫描工具,旨在为操作系统提供安全加固、漏洞扫描、rootkit入侵检测等功能。用户可以通过参数配置的定制化方式对系统进行安全方面的扫描检测,在满足系统基线安全加固的同时也可以对用户所...
基于CallStack的反Rootkit HOOK检测
02-22 1371
Anti-Rootkit目前扫描Hook的方法主要有以下几种:   1.对抗inline -hook ,IAT/EAT Hook   Anti-Rootkit使用读取磁盘上系统文件并将之进行map\重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/IAT HOOK,后同),类似的工具例如Rootkit Unhooker, gmer, Icesword等等。
机器学习-检测webshell
07-18
基于决策树的webshell检测,k-近邻算法是基于实例的学习,使用算法时我们必须有接近实际数据 的训练样本数据,k-近邻算法必须报错全部数据集,如果训练数据集的很大 必须使用大量的存储空间,此外,由于必须对数据集中的每个数据计算距离, 实际使用可能非常耗时 k-近邻算法的另一个缺陷时它无法给出任何数据的基础结构信息,因此我们也无法知晓 平均实例样本和典型实例样本具有什么特征。 决策树也是最经常使用的数据挖掘算法 决策树的优势在于数据形式非常容易理解 决策树的一个重要任务时为了数据中所蕴含的知识信息,因此决策树可以使用不熟悉的 数据集合,并从中提取出一系列规则 决策树 优点:计算复杂度不高,输出结果易于理解,对中间值的缺失不敏感 可以处理不相关特征数据 缺点:可能会产生过度匹配的问题。 适用数据类型:数值型和标称型。 我们必须采用量化的方法判断如何划分数据。 在划分数据集之前之后信息发生的变化称为信息增益,知道如何计算信息增益 我们就可以计算每个特征值划分数据集获得的信息增益,获得信息增益最高的特征 就是最好的选择。 如何计算信息增益,集合信息的度量方式,集合信息的度量方式称为香农熵。或熵。
学习笔记(二):使用K近邻算法检测Web异常操作
盐可
10-13 661
使用全量比较,而不是最频繁和最不频繁的比较。 1.数据搜集        我们使用词集的模型,将全部命令去重后形成一个大型向量空间,每个命令代表一个特征,首先通过遍历全部命令,生成对应词集。 with open(filename) as f: for line in f: line = line.strip('\n') dist.append(line) fdist = F...
学习使用决策树和随机森林算法检测暴力破解
不忘初心,护天下安全!
02-20 1684
1.使用决策树算法检测POP3暴力破解 # -*- coding:utf-8 -*- import re import matplotlib.pyplot as plt import os from sklearn.feature_extraction.text import CountVectorizer from sklearn import cross_validation impor...
求解惩戒线性回归-LARS算法源码
MrLeaper 的博客
03-09 700
import urllib import numpy as np from sklearn import datasets, linear_model from math import sqrt import matplotlib.pyplot as plot #read data into iterable target_url = "http://archive.ics.uci.edu/ml...
机器学习笔记(6)---K-近邻算法(4)---使用K近邻算法检测异常操作之一
终身学习的程序猿
02-11 4392
前言 接着前面三篇学习笔记《约会对象魅力程度分类》、《使用sklearn中的KNN算法》和《KNN手写识别系统》,本节记录使用K近邻算法检测异常操作,主要参考《Web安全机器学习》 。 转载请注明出处:http://blog.csdn.net/rosetta 使用K近邻算法检测异常操作之一 实验数据及情况 实验数据在Schonlau个人网站中:http://www.schonl...
Web安全机器学习入门读书笔记——K近邻算法
s1054436218的博客
01-25 1564
网络空间安全和AI几乎是当下最热的两门话题了,而AI安全人才是少之又少,抱着这个想法和自己的兴趣,最近在读兜哥出的一本书:《Web安全机器学习入门》。这几天会边读边写笔记,由于兜哥的代码都是用python2.7写的,个人比较喜欢python3.6,在写笔记的过程中可能与兜哥的源代码不符,顺便纠正一下书中的错误(试某个代码的时候一直跑错,到兜哥的GitHub上发现大家都说兜哥的代码的确写错了)。建
2025年三个月自学手册 网络安全(黑客技术)
最新发布
2401_85027336的博客
01-20 651
网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
Web安全|渗透测试|网络安全
2401_88326655的博客
01-17 926
比如国外Steam的网址是1.1.1.1,国内访问国外比较慢,所以我们将Steam的网址放到2.2.2.2的一个国内的地址上的话可以加快我们的访问速度。真实的目标服务器可能在某个位置,为了加快其他地区对这个目标服务器的访问会再增加一些新的节点,加快访问速度。DNS与CDN的解析有不一样的地方,CDN与地区有关,与DNS解析服务器的更换无关,因为存在节点,就是类似于一个缓存,你在访问这个网站的时候你请求的是它的一个节点,如果你使用的是自动解析,会向上,比如说连了一个路由器,会向路由器去解析。
记一次常规的网络安全渗透测试
zgz67611的博客
01-20 611
目录:前言 互联网突破 第一层内网 第二层内网总结上个月根据领导安排,需要到本市一家电视台进行网络安全评估测试。通过对内外网进行渗透测试,网络和安全设备的使用和部署情况,以及网络安全规章流程出具安全评估报告。本文就是记录了这次安全评估测试中渗透测试部分的内容,而且客户这边刚刚做过了一次等保测评,算一下时间这才几周不到,又来进行测试,实在是怕没成绩交不了差啊。刚开始当然还是要从外网开始尝试,因为事先客户也没有给出目标清单,我通过常规信息收集发现目标在互联网上部署一套OA系统。二话不说祭出了我珍藏多年“万能O
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值