《Web安全之深度学习实战》笔记:第十二章 智能扫描器(2) 自动登录

已于 2022-03-12 11:02:44 修改
阅读量3.6k 收藏
点赞数
分类专栏: Web安全之深度学习实战
于 2022-03-12 11:01:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/123438349
版权

Word2Vec 20NewsGroupsDataset 登录识别 语义相似度 数据清理
关键词由CSDN通过智能技术生成

本小节的内容虽然放到智能扫描器中,但是自动识别登录界面实际上是让通过让机器通过学习20News Groups Dataset数据样本,挖掘登录与注册页面常见关键字,如输入参数为password,即求与password接近的单词;而输入参数为email,即求与email相近的但此处。看到这里,相信非初学者应该已经了解本小节的本质是什么了,那就是通过Word2Vec来分析语义相似度。

一、自动登录

在研究如何使用机器自动识别注册和登录界面之前,我们先回顾一下人工是如何识别的。这里附作者给的示例图

以注册页面为例,常见的注册页面都会要求填写用户名、密码、邮箱等信息,并且一定会要求你重新输入密码进行确认。一个典型的注册页面如图12-9所示,会包含以下关键字:     

Sign Up
Name
Email
Password
Password confirmation

 同样,以登录页面为例,常见的登录页面都会要求填写用户名/邮箱、密码、验证码。

一个典型的登录页面如图12-10所示,会包含以下关键字:

Sign in
Email
Password
code

        我们可以把机器识别注册和登录页面的过程简化成机器识别页面中包含指定关键字的过程。如何不依赖人工,而是依靠机器自动生成这些关键字呢?答案是Word2Vec。Word2Vec是Google在2013年开源的一款将词表征为实数值向量的高效工具,采用的模型有连续的词袋(Continuous Bag-Of-Words,CBOW)模型和Skip-Gram模型两种。

        Word2Vec通过训练,可以把对文本内容的处理简化为K维向量空间中的向量运算,而向量空间上的相似度可以用来表示文本语义上的相似度。可以通过Word2Vec自动挖掘登录与注册页面常见关键字。关于Word2Vec的详细介绍请参考第7章相关内容。

        我的理解这个应用其实可以很简单的描述,但是作者也是给了此应用在web安全中如何使用,所以说了这么多内容来描述自动登录这个问题。 

二、数据集

本节的数据集使用大名鼎鼎的20News Groups Dataset。20News Groups Dataset包含20000个新闻报道,分别来自20个新闻组,它已经成为机器学习在文本分类和文本聚类领域非常流行的一个数据集。Scikit-Learn中默认包含了该数据集,可以很方便地使用:

    newsgroups_train = fetch_20newsgroups(subset='train')

其中,可以通过指定categories访问不同领域的新闻

cats = ['alt.atheism', 'sci.space']
newsgroups_train = fetch_20newsgroups(subset='train', categories=cats)

三、数据清理

Word2Vec需要在语料库上进行训练,我们使用20News Groups Dataset。20News Groups Dataset包含大量的非字符符号,所以需要进行数据清洗,仅提取单词:

newsgroups_train = fetch_20newsgroups(subset='train')
sentences=[re.findall("[a-z\-]+",s.lower()) for s in newsgroups_train.data]

四、模型构建

        作者在这里使用20News Groups Dataset提取全部单词,然后使用gensim进行Word2Vec训练,完整流程如图12-11所示

而源码部分处理是这样的

def get_login_pages(keywords):
    from sklearn.datasets import fetch_20newsgroups
    import gensim
    import re

    newsgroups_train = fetch_20newsgroups(subset='train')
    sentences=[re.findall("[a-z]+",s.lower()) for s in newsgroups_train.data]

    model = gensim.models.Word2Vec(sentences, size=200, window=5, min_count=1, workers=4)
    results=model.most_similar(positive=[keywords], topn=10)
    for i in results:
        print (i)

五、运行结果

以password为例,调用如下

get_login_pages("password")

运行结果如下

[password] most_similar:
('username', 0.6823453903198242)
('login', 0.6291040182113647)
('nodis', 0.580697774887085)
('passwd', 0.565298318862915)
('alias', 0.5318878889083862)
('plaintext', 0.5194739103317261)
('trap-door', 0.51244056224823)
('authentication', 0.5074070692062378)
('passphrase', 0.5054489970207214)
('cipher', 0.5029815435409546)

六、改进函数

将输入变为字符串列表,这样可以一次性输出多个相似度,优化后代码如下

def get_login_pages(keywords):
    from sklearn.datasets import fetch_20newsgroups
    import gensim
    import re

    newsgroups_train = fetch_20newsgroups(subset='train')
    newsgroups_test = fetch_20newsgroups(subset='test')

    newsgroups=[]
    newsgroups.append(newsgroups_train.data)
    newsgroups.append(newsgroups_test.data)

    sentences=[re.findall("[a-z\-]+",s.lower()) for s in newsgroups_train.data]


    model = gensim.models.Word2Vec(sentences, size=200, window=5, min_count=1, workers=4,iter=20)

    for key in keywords:
        print ("[%s] most_similar:" % key)
        results=model.most_similar(positive=[key], topn=10)
        for i in results:
            print (i)

此时调用如下

    get_login_pages(["user","password","email","name"])

运行结果如下所示

[user] most_similar:
  results=model.most_similar(positive=[key], topn=10)
('interface', 0.5456673502922058)
('client', 0.5338382720947266)
('users', 0.5327937602996826)
('resource', 0.517593264579773)
('extension', 0.5087355971336365)
('application', 0.4957618713378906)
('builder', 0.4955199956893921)
('server', 0.492167592048645)
('toolkit', 0.48378533124923706)
('protocol', 0.47578126192092896)
[password] most_similar:
('username', 0.6823453903198242)
('login', 0.6291040182113647)
('nodis', 0.580697774887085)
('passwd', 0.565298318862915)
('alias', 0.5318878889083862)
('plaintext', 0.5194739103317261)
('trap-door', 0.51244056224823)
('authentication', 0.5074070692062378)
('passphrase', 0.5054489970207214)
('cipher', 0.5029815435409546)
[email] most_similar:
('e-mail', 0.8045320510864258)
('mail', 0.6995552778244019)
('compuserve', 0.5921804308891296)
('replies', 0.5792131423950195)
('reply', 0.5595848560333252)
('snail-mail', 0.5508401393890381)
('inquiries', 0.5456984043121338)
('wchutt', 0.5267196893692017)
('listserv', 0.5228370428085327)
('send', 0.5143170356750488)
[name] most_similar:
('printf', 0.41633301973342896)
('d-l', 0.40300360321998596)
('initials', 0.396043598651886)
('word', 0.3865213990211487)
('definition', 0.37389007210731506)
('names', 0.36851173639297485)
('parent', 0.36721381545066833)
('feyruzovich', 0.36647385358810425)
('address', 0.36511367559432983)
('title', 0.3628310263156891)

Process finished with exit code 0

mooyuan天天
关注
专栏目录
2024年 毕业设计 机器学习&深度学习实战案例,含有python代码和教程 (10月26日已更新856篇)
sybh的博客
10-05 6732
10月促销价39.9,适合初学python机器学习深度学习的学生,从入门到精通,专栏内含有讲解,每篇文章都含有对应的代码,会持续更新,更新至千篇案例,已经更新六百多个项。
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
独家 | 一文读懂如何用深度学习实现网络安全
数据派THU
08-08 2655
作者:Guest Blog翻译:张玲校对:丁楠雅本文约4700字,建议阅读10+分钟。本文简要介绍深度学习以及它支持的一些现有信息安全应用,并提出一个基于深度学习的TOR...
深度学习嵌入web应用,基于Flask和Keras
qq_41090341的博客
08-04 3151
首个深度学习web应用,基于FLASK和Keras缘起功能隐约眼熟?为什么使用Flask和keras?功能和界面项目结构和代码目录结构代码功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的 缘起 随着疫情缓解,在家自学TF、看看论文然后混吃喝的happy日子被迫结束T T。前往一家互联网公司的web开发组实习。期间,接触到了很多之前
Web安全之机器学习入门》一 1.4 人工智能安全领域的应用
weixin_34226706的博客
09-08 398
1.4 人工智能安全领域的应用 人工智能安全领域的应用还属于起步阶段,各大安全公司以及互联网巨头都投入大量的人力物力,试图使用人工智能的技术来颠覆安全这个行业,目前在黄反鉴定、恶意链接、业务风控领域、病毒分析、APT检测方面都取得了不错的进展,典型案例的就是2015年的一次数据挖掘比赛。2015年,微软在Kaggle上发起了一个恶意代码分类的比赛,并...
页面重新登录后input框筛选条件还在_自动筛选Cookies脚本(Python)
weixin_39765796的博客
11-27 74
自动筛选Cookies脚本(Python)一. 起因当我们想要获取某个网站的数据时(爬虫),有些时候我们需要进行登录。遇到这种情况时,我们往往需要通过Cookies来维持登录状态。然而,某个网站的Cookies一般非常多,但并不是所有的cookie都与维持登录状态有关。所以,我们需要筛选出与登录状态有关的cookie功能使用selenium来登录目标网站(仅仅是用来筛选Cookies,对速度要求可...
基于机器学习的Web管理后台识别方法探索
Tencent_SRC的博客
01-15 750
文|宙斯盾流量安全分析团队晨晨、彦修背景长期以来,Web管理后台一直是攻击者觊觎的目标。部分信息安全意识薄弱的业务在未作任何安全加固(设置IP白名单、强口令、二次认证、验证码、请求频率审...
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
[网络安全提高篇] 一二三.恶意样本分类之基于API序列和深度学习的恶意家族分类详解
杨秀璋的专栏
07-05 3587
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍如何学习提取的API序列特征,并构建机器学习算法实现恶意家族分类,这也是安全领域典型的任务或工作。这篇文章将讲解如何构建深度学习模型实现恶意软件家族分类,常见模型包括CNN、BiLSTM、BiGRU,结合注意力机制的CNN+BiLSTM。基础性文章,希望对您有帮助!
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
热门推荐
杨秀璋的专栏
09-29 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源和用户名密码,本文将讲解Python网络攻防相关基础知识,包括正则表达式、Web编程和套接字通信。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的经验进行讲解。
AWVS-Web Scanner使用教程
W小哥
01-14 9310
一、不需要登录扫描 二、需要登陆的扫描 有的时候,需要登陆进去扫描网站内容 第一步:新建扫描 第二步:输入目标IP地址,点击next 第三步:很多模块的漏洞测试,选择默认(默认是所有漏洞都检测),点击next 第四步:点击录制用户名密码 打开之后界面如下图所示,输入用户名密码,验证码 点击完成 输入用户名保存 点击next 正在进行登陆测试 登陆成功如下图所示(不成功重新...
加载sklearn新闻数据集出错 fetch_20newsgroups() HTTPError: HTTP Error 403: Forbidden解决方案
qq_43678902的博客
05-15 1581
和20news-bydate.pkz(下载地址:https://pan.baidu.com/s/1cPQ1W4TL8H4xup7QWwHDLg?1)下载20news-bydate.tar.gz (下载地址:https://ndownloader.figshare.com/files/5975967。2)将20news-bydate.tar.gz放在~\scikit_learn_data\20news_home 目录下并解压。4)运行程序,便可以了。
fetch_20newsgroups报错403的解决办法,附带朴素贝叶斯算法应用
最新发布
weixin_49680811的博客
08-15 3257
下载后的压缩包名字应该为20news-bydate.tar.gz。先将压缩包放入C:\\Users\\(自己的电脑名)\\scikit_learn_data\\20news_home\\的文件夹中。首先找到Pycharm右下角的这个解释器(Python3.11),点击它,进入interpreter St像我的在D盘,就是要找到这个地址里的Lib文件D:\pydemo\venv\Lib\site-packages\sklearn\datasets里面有一个 _twenty_newsgroups.py 文件
干货 | 机器学习在web攻击检测中的应用实践
emprere的博客
12-11 1033
相关阅读:Python的开源人脸识别库:离线识别率高达99.38%2017企业阵亡最全名单出炉,“共享经济”占半壁江山互联网技术(java框架、分布式、集群)干货视频大全...
如何实现一个安全Web登陆
ReZero's Blog
10-14 4684
综述:待 Update:QUIC, SSO, HSTS等协议研究,SHA-1 可破解总结: 没有绝对的安全,能不自己做就不自己做, 要么 openID(不了解), 要么OAuth(推荐QQ & Github)本文不考虑键盘记录器等养毒行为, 本文不考虑堆栈溢出, exploit, SQL注入等。 单纯谈论偏向登陆会话过程思维养成key: 时间, 信任无解问题: CSRF, 中间人攻击(有应对方案,但
Web上的用户登录功能安全
LynnZhang的博客
10-09 3697
Web上的用户登录功能安全 转载自:http://www.daimami.com/web/217218.htm 你会做Web上的用户登录功能吗?       Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要写一篇文章教大家怎么来做用户登录功能。下面 的文章告诉大家这个功能可能并没有你所想像的那么简单,这是
网站自动登录功能(安全-代码简洁)的设计
anyway, life must全力以赴
08-30 5626
参考:http://blog.csdn.net/ivon2008/article/details/39899477 网站的自动登录一直都是有利于提高用户体验的功能,如果设计不好,也非常容易泄漏用户的账户信息。         比较常见的功能实现方案是将用户的登录信息保存在浏览器的Cookie中。看到一些设计有缺陷的网站会将用户的用户名和密码信息保存在Cookie中,这种做法
WEB网站设计用户登录安全机制
iechenyb专栏
10-16 9677
用户登录模块设计的安全考虑
吴恩达深度学习课程笔记:掌握深度学习人工智能
"这是一份基于吴恩达的深度学习课程Deeplearning.ai的详细笔记,适合初学者和研究人员,涵盖了深度学习的基础知识、神经网络构建、卷积神经网络(CNN)、递归神经网络(RNN)和长短期记忆(LSTM)等内容,并通过实际项目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值