【异常检测】基于常用数据集LANL和CERT的异常检测源代码(https://github.com/pnnl/safekit)解读

最新推荐文章于 2024-08-06 14:04:05 发布
最新推荐文章于 2024-08-06 14:04:05 发布
阅读量4k 收藏 20
点赞数 2
分类专栏: 异常检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38391210/article/details/104880592
版权
本文介绍了基于LANL和CERT数据集的异常检测源代码,主要关注`safekit`库的代码结构与重要文件解读,包括LSTM和DNN模型的实现。`examples`文件夹包含实践代码,如dnn_agg.ipynb用于DNN训练,而simple_lm.ipynb涉及LSTM模型。`test`文件夹包含测试代码,如agg_tests.py和lanl_lm_tests.py。文章还讨论了模型训练过程和损失函数计算。
摘要由CSDN通过智能技术生成

写在前面

最近在做一个异常检测项目,采用LANL数据集进行实践,找到了一份基于LANL数据集和CERT数据集的异常检测实践源码。花了一些时间研究源代码,这里把研究的结果记录下来。

源代码

使用的源代码链接为:https://github.com/pnnl/safekit。基于这篇源代码有两篇异常检测论文,如果有兴趣的也可以去下载阅读。一篇是Recurrent Neural Network Language Models for Open Vocabulary Event-Level Cyber Anomaly Detection,另一篇是Deep Learning for Unsupervised Insider Threat Detection in Structured Cybersecurity Data Streams。

代码结构

代码结构如下:
|—data_examples 存放原始LANL和CERT数据集处理后得到的特征值数据
      |—cert 存放cert处理后得到的特征
      |—lanl 存放lanl处理后得到的特征
           |—agg_feats 应该是对应DNN模型的特征
           |—lm_feats 应该是对应LSTM模型的特征
|—docs 这部分目前还没看
|—examples 存放了几个DNN和LSTM的实践ipynb代码
      |—dnn_agg.ipynb 基于LANL的DNN实践代码
      |—LANL_LM_data.ipynb 对于LANL原始数据集的数据处理
      |—simple_lm.ipynb 基于LANL的LSTM实践代码
|—safekit 存放特征提取,模型的代码等
      |—features 对于两个数据集的特征提取代码
      |—models 原始的dnn,孤立森林等算法的模型实现代码
|—test 基于两个数据集的LSTM和DNN实践测试代码
      |—agg_test.py DNN实践代码
      |—lanl_lm_tests.py LSTM实践代码
|—setup.py 用于配置代码环境,安装需要的包等

重要文件解读

examples文件夹

(1)dnn_agg.ipynb
首先是导入LANL数据集对应的特征json文件lanl_count_in_count_out_agg.json,然后得到事件计数特征值在特征向量中对应的起始位置index,用datastart_index表示。

dataspecs = json.load(open('../safekit/features/specs/agg/lanl_count_in_count_out_agg.json', 'r'))
datastart_index = dataspecs['counts']['index'][0]

我们来看一下lanl_count_in_count_out_agg.json文件中有些什么
num_features是特征向量的维度,也就是特征数目;time是发生的时间;user是用户标识,这里有30000个用户class类别;redteam是代表是否为redteam事件;counts中就是事件计数值。加起来就是137维的特征向量。

{
   
  "num_features": 137,
  "time": {
   
	"index": [0],
  	"num_classes": 0,
    "meta": 1,
    "feature": 0,
    "target": 0 },
  "user": {
   
	"index": [1],
    "num_classes": 30000,
    "meta": 1,
    "feature": 0,
    "target": 0 },
  "redteam": {
   
	"index": [2],
    "num_classes": 0,
    "meta": 1,
    "feature": 0, 
    "target": 0
最低0.47元/天 解锁文章
精致又勤奋的码农
关注
专栏目录
异常检测】基于常用数据集LANL和CERT异常检测源代码https://github.com/pnnl/safekit)实践
qq_38391210的博客
03-17 1207
写在前面 花了很长时间,总算把https://github.com/pnnl/safekit中的源码部分跑完了,踩了一些坑,这里记录一下我的解决过程。 源码 源码是一个基于常用数据集LANL和CERT异常检测代码https://github.com/pnnl/safekit。前面的博客 ...
【论文学习】Deep Learning for Unsupervised Insider ThreatDetection in Structured Cybersecurity DataStreams
qq_38391210的博客
12-04 1953
Deep Learning for Unsupervised Insider Threat Detection in Structured Cybersecurity Data Streams论文学习 数据集: 采用了CERT Insider Threat Dataset v6.2数据集。模拟了恶意内部人实施的系统破坏,信息窃取和内部欺诈三类主要攻击行为和大量的正常背景数据。 涉及多个维度的用户行...
用于时间序列异常检测的公共数据集
最新发布
weixin_45290352的博客
08-06 864
这里我总结了一些公开可用的时间序列异常检测数据集
CMU-CERT内部威胁数据集 Insider Threat_cert数据集
m0_61068496的博客
04-07 427
首先解释一下CMU-CERT是什么意思。“CMU”是卡内基梅隆大学(Carnegie Mellon University)的简称,具体这个学校的情况,请大家自行去搜索。“CERT”是卡内基梅隆大学的一个研究中心叫“CERT”,主要研究内部威胁。所以大家应该懂了为什么叫 CMU-CERT了。
CMU-CERT内部威胁数据集 Insider Threat_cert数据集,2024年最新网络安全面试点梳理
qd520_1314的博客
04-03 899
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
CMU-CERT内部威胁数据集 Insider Threat_cert数据集,三面美团网络安全岗
2401_83946826的博客
04-15 786
首先解释一下CMU-CERT是什么意思。“CMU”是卡内基梅隆大学(Carnegie Mellon University)的简称,具体这个学校的情况,请大家自行去搜索。“CERT”是卡内基梅隆大学的一个研究中心叫“CERT”,主要研究内部威胁。所以大家应该懂了为什么叫 CMU-CERT了。
CMU-CERT内部威胁数据集 Insider Threat_cert数据集,2024年最新1307页阿里网络安全面试全套真题解析在互联网火了
2401_83974370的博客
04-13 374
首先解释一下CMU-CERT是什么意思。“CMU”是卡内基梅隆大学(Carnegie Mellon University)的简称,具体这个学校的情况,请大家自行去搜索。“CERT”是卡内基梅隆大学的一个研究中心叫“CERT”,主要研究内部威胁。所以大家应该懂了为什么叫 CMU-CERT了。
lanl-ansi.github.io:ANSI网站源代码-git source code
03-25
发展须知 在本地构建, bundle exec jekyll serve --incremental 有关安装依赖项的说明,请参见此处的Ruby Gem方法, 报告编号: LA-UR-18-24590
基于网络通信异常识别的多步攻击检测方法
01-14
分别在DARPA 2000数据集LANL数据集上进行实验验证,实验结果表明,所提方法可以有效检测并重构出多步攻击场景。所提方法可有效监测包括未知特征攻击类型在内的多步攻击,为检测 APT 等复杂的多步攻击提供了一种...
数据融合matlab代码-LANL:局域网
05-22
数据融合matlab代码LANL_LADSS 我鼓励对此工作感兴趣的人阅读该存储库中包含的会议论文“ VISIO-ACOUSTIC DATA FUSION”。 该工作是在洛斯阿拉莫斯国家实验室的第20所洛斯阿拉莫斯动力暑期学校进行的。 提供了所有...
CMU-CERT内部威胁数据集 Insider Threat
weixin_44652589的博客
05-15 2488
CMU-CERT数据集是卡耐基梅隆大学(简称CMU)CERT研究中心发布的数据集。本文介绍了r1版本数据集中的内容。
LANL Earthquake Prediction收获
zhj_fly的博客
06-11 826
一、简介 比赛地址:传送门 描述:该比赛目标是使用地震信号来预测地震发生的时间。 训练数据:两列,第一列是地震的信号数值acoustic_data,第二列是还有多久发生地震time_to_failure(记为TTF)。数据量是629145480行,即629145480个acoustic_data和TTF。 测试数据:有2624个测试文件,每个文件有150,000行数据,只有acoustic...
CMU-CERT内部威胁数据集 r4.2版本介绍
weixin_44652589的博客
08-07 1673
CMU-CERT 内部威胁数据集 r4.2版本
Kaggle比赛系列:(1)LANL Earthquake Prediction
一直在路上
01-04 918
比赛介绍 地震预测主要是为了解决3个问题:什么时候会发生?(when)会在哪里发生?(where)会发生多大规模的地震?(what)。这个竞赛主要是预测地震什么时候会发生,具体来说,将根据实时地震数据预测实验室地震发生前的剩余时间(地震是模拟的,数据是真实的) 数据集:链接: https://pan.baidu.com/s/1oOZK6jc8BzxKUcp8OsgHMQ 提取码: 9i8c 数据集...
计算机视觉——【数据资源】各类数据集搜索及下载资源
技术更新每天
10-18 1705
数据集搜索及下载资源The Koblenz Network Collection(国外)聚数力(国内) The Koblenz Network Collection(国外) 网址:http://konect.uni-koblenz.de/ 聚数力(国内) 网址:http://dataju.cn/Dataju/web/home ...
Kaggle比赛记录(三)LANL Earthquake Prediction
万carp的博客
06-07 1680
       第二次参加Kaggle,是有关地震预测的题目。这一次比赛的成绩并不出彩,        这场比赛的数据集十分庞大,
综合题 设某公司为构建公司内部网络,申请到IP地址块为130.38.28/24。公司经过调研,决定在公司内部划分3个局域网Lanl至Lan3,每个局域网上的主机数分别为90、60和40。试为该公司进行网络规划设计,要求: (1)给出每一个局域网相应的IP地址块(包括前缀)。 (2)每一个局域网可分配给主机使用的最小地址和最大地址是什么?假设该公司的网络接入Internet,公司网络中的主机可以访问Internet。 (3)假设该公司网络中的主机A使用12345的TCP端口与Web服务器通信,则当Web服务器返回信息给主机A时,相应数据包中的目标端口号及源端口号分别是什么? (4)假设Internet中有一台Web服务器的域名为www.glut.edu.cn,其首页为des.htm,试写出访问该首页的URL。
03-12
(1) 根据给定的IP地址块130.38.28/24,可以将其划分为三个子网,分别为130.38.28.0/25、130.38.28.128/26和130.38.28.192/26,其中前缀长度分别为25、26和26。 (2) 对于每个子网,可分配给主机使用的最小地址和最大地址如下: - 子网1(130.38.28.0/25):最小地址为130.38.28.1,最大地址为130.38.28.126。 - 子网2(130.38.28.128/26):最小地址为130.38.28.129,最大地址为130.38.28.190。 - 子网3(130.38.28.192/26):最小地址为130.38.28.193,最大地址为130.38.28.254。 假设该公司的网络接入Internet,公司网络中的主机可以访问Internet。 (3) 当Web服务器返回信息给主机A时,相应数据包中的目标端口号为12345,源端口号为Web服务器使用的端口号(通常为80)。 (4) 访问www.glut.edu.cn的首页des.htm的URL为http://www.glut.edu.cn/des.htm。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值