Web安全之机器学习入门读书笔记——K近邻算法

最新推荐文章于 2022-02-04 08:20:53 发布
最新推荐文章于 2022-02-04 08:20:53 发布
阅读量1.5k 收藏 12
点赞数 5
分类专栏: Python 机器学习 Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s1054436218/article/details/79154640
版权

网络空间安全和AI几乎是当下最热的两门话题了,而AI安全人才是少之又少,抱着这个想法和自己的兴趣,最近在读兜哥出的一本书:《Web安全之机器学习入门》。这几天会边读边写笔记,由于兜哥的代码都是用python2.7写的,个人比较喜欢python3.6,在写笔记的过程中可能与兜哥的源代码不符,顺便纠正一下书中的错误(试某个代码的时候一直跑错,到兜哥的GitHub上发现大家都说兜哥的代码的确写错了)。建议各位同好的朋友们去买兜哥的正版图书哈~我的笔记会省略兜哥讲到的很多姿势。以下是兜哥这本书的京东地址:https://item.jd.com/12158965.html

本文所有代码以及数据都可以在我的GitHub上下载:Capter5

K近邻算法算是最简单的机器学习算法了,也是比较重要的算法,简单易懂,书里介绍的相对简略,想更了解这个算法的朋友可以到这位大佬这里学习一下:Python3《机器学习实战》学习笔记(一):k-近邻算法(史诗级干货长文


使用K近邻算法检测异常操作(一)

黑客入侵Web服务器以后,通常会通过系统漏洞进一步提权,获得root权限。所以我们可以利用搜集来的Linux服务器的bash操作日志,通过训练识别出特定用户的操作习惯,然后进一步识别出异常操作行为。兜哥这里写的代码文件名是5-2.py,于是我这里写S的是test5_2.py。
首先是对训练数据的处理,训练数据中包括50个用户的操作日志,每个日志包含15000条操作命令,其中前5000条都是正常操作,后面的10000条日志中随机包含有异常操作。为了方便分析,数据集每100条操作作为一个操作系列,每个操作序列只要有1条异常数据就认为这个操作序列异常。

1、数据搜集和清洗
一共50个User,其中label.txt记录每个User文件操作序列是否为异常,用于测试和训练,tmp.py是我自己写的脚本……
然后我们需要逐行读取操作命令,并且每100个命令组成一个操作序列,保存在list中: 
def load_user_cmd(filename):
	cmd_list = []		#存储所有操作序列
	dist_max = []		#存储用户使用频率最高的50个命令
	dist_min = []		#存储用户使用频率最低的50个命令
	dist     = []		#存储所有命令
	with open(filename) as f:
		i = 0
		x = []			#存储每个操作序列
		for line in f:
			line = line.strip('\n')		#去掉空行
			x.append(line)				#组合成操作序列
			dist.append(line)			#添加操作命令
			i+=1
			if i==100:
				cmd_list.append(x)		#每计数100个添加操作序列
				x = []					#然后将操作序列清空
				i = 0


我们需要统计使用频率最高的50个命令和最低的50个命令,以判断用户的操作习惯,所以略微修改一下读入的函数: 
def load_user_cmd(filename):
	cmd_list = []		#存储所有操作序列
	dist_max = []		#存储用户使用频率最高的50个命令
	dist_min = []		#存储用户使用频率最低的50个命令
	dist     = []		#存储所有命令
	with open(filename) as f:
		i = 0
		x = []			#存储每个操作序列
		for line in f:
			line = line.strip('\n')		#去掉空行
			x.append(line)				#组合成操作序列
			dist.append(line)			#添加操作命令
			i+=1
			if i==100:
				cmd_list.append(x)		#每计数100个添加操作序列
				x = []					#然后将操作序列清空
				i = 0
	fdist    = sorted(FreqDist(dist).items(),key = operator.itemgetter(1),reverse = True)	#获得操作命令使用频率并排序
	dist_max = set([item[0] for item in fdist[:50]])		#取出前50个操作命令的指令
	dist_min = set([item[0] for item in fdist[-50:]])		#取出前50个操作命令的指令
	return cmd_list,dist_max,dist_min
使用FreqDist和operator.itemgetter之前记得首先要import一下: 
from nltk.probability import FreqDist
import operator

注意,这里我跟兜哥的代码不相同,兜哥原本获取操作指令频率的命令是: 
    fdist = FreqDist(dist).keys()
    dist_max=set(fdist[0:50])
    dist_min = set(fdist[-50:])
    return cmd_list,dist_max,dist_min
然而这样获取的keys()是随机的,不是按照使用频率排序的,故后面都会出错(尽管我用兜哥的源代码仍然跑的概率和书上不同,改对后也不同)。set其实没有必要用,因为keys一定不会重复的,但是这样用也没有问题,向兜哥致敬吧,所以我没有把set去掉。

数据搜集和清洗的操作完成了,接下来将数据 特征化
2、特征化
(1)获得每个操作序列去重后的指令个数: 
               f1=len(set(cmd_block))

(2)获得每个操作序列使用前10以及后10的命令(这里依旧和兜哥的源代码不同): 


                fdist = sorted(FreqDist(cmd_block).items(),key = operator.itemgetter(1),reverse = True)
                f2 	  = [item[0] for item in fdist[:10]]
                f3	  = [item[0] for item in fdist[-10:]]
KNN只能以标量作为输入参数,所以需要将f2和f3表量化,最简单的方式就是和统计的最频繁使用的前50个命令以及最不频繁的50个命令计算重合度: 
                f2        = len(set(f2) & set(dist_max))
		f3        = len(set(f3) & set(dist_min))
最终,特征化函数为: 
def get_user_cmd_feature(user_cmd_list,dist_max,dist_min):
	user_cmd_feature = []
	for cmd_block in user_cmd_list:
		f1 	  = len(set(cmd_block))
		fdist = sorted(FreqDist(cmd_block).items(),key = operator.itemgetter(1),reverse = True)
		f2 	  = [item[0] for item in fdist[:10]]
		f3	  = [item[0] for item in fdist[-10:]]
		f2	  = len(set(f2) & set(dist_max))
		f3        = len(set(f3) & set(dist_min))
		x 	  = [f1,f2,f3]
		user_cmd_feature.append(x)
	return user_cmd_feature
3、训练数据

完成了数据读取和特征化后,我们即将开始训练数据,但在此之前,我们还需要把标志操作序列是否异常的标签读进来,提供监督学习: 
def get_label(filename,index=0):		#读取标签,index+1即用户编号
	x=[]
	with open(filename) as f:
		for line in f:
			line = line.strip('\n')
			x.append(int(line.split()[index]))
	return x
加载user3的数据,然后进行测试和训练,前N个用作训练,其余的用作测试: 
#读取用户操作序列,并做数据清洗
	user_cmd_list,user_cmd_dist_max,user_cmd_dist_min = load_user_cmd('../Capter5/MasqueradeDat/User3')
	#将数据特征化
	user_cmd_feature = get_user_cmd_feature(user_cmd_list,user_cmd_dist_max,user_cmd_dist_min)
	#获得操作序列的标签
	labels = get_label('../Capter5/MasqueradeDat/label.txt',2)
	#label.txt中只有后100个序列的标签,前50个都是正常用户的操作序列
	y = [0]*50 + labels
	#x代表特征化的数据,这里取了前N个数据
	x_train = user_cmd_feature[0:N]
	#y代表数据的标签,这里取了前N个数据的标签
	y_train  = y[0:N]
	#N个以后的都用作测试
	x_test  = user_cmd_feature[N:150]
	y_test  = y[N:150]

接下来要调用skearn的库来操作,首先需要import一下: 
from sklearn.neighbors import KNeighborsClassifier
import numpy as np
接下来调用KNN函数进行训练: 
        neigh   = KNeighborsClassifier(n_neighbors = 3)
	neigh.fit(x_train,y_train)
然后预测结果,并获得 准确率: 
	y_predict = neigh.predict(x_test)
	score = np.mean(y_test == y_predict)*100
	print(score)
书上说是用前120个操作序列进行训练,后30进行测试,准确率是80%,然而无论我用书上的代码还是兜哥GitHub上的源代码跑出的准确率都是100%……包括我自己修正后的代码也是100,不过将训练的数据减小到50个,我修正后的代码跑出的准确率为89%: 
89.0

***Repl Closed***
OK,将所有代码整合在一起,如下: 
#coding:utf-8
'''
	@DateTime: 	2018-01-24 14:36:02
	@Version: 	1.0
	@Author: 	Unname_Bao
'''
from nltk.probability import FreqDist
import operator
from sklearn.neighbors import KNeighborsClassifier
import numpy as np

N = 50
def load_user_cmd(filename):
	cmd_list = []		#存储所有操作序列
	dist_max = []		#存储用户使用频率最高的50个命令
	dist_min = []		#存储用户使用频率最低的50个命令
	dist     = []		#存储所有命令
	with open(filename) as f:
		i = 0
		x = []			#存储每个操作序列
		for line in f:
			line = line.strip('\n')		#去掉空行
			x.append(line)				#组合成操作序列
			dist.append(line)			#添加操作命令
			i+=1
			if i==100:
				cmd_list.append(x)		#每计数100个添加操作序列
				x = []					#然后将操作序列清空
				i = 0
	fdist    = sorted(FreqDist(dist).items(),key = operator.itemgetter(1),reverse = True)	#获得操作命令使用频率并排序
	dist_max = set([item[0] for item in fdist[:50]])		#取出前50个操作命令的指令
	dist_min = set([item[0] for item in fdist[-50:]])		#取出前50个操作命令的指令
	return cmd_list,dist_max,dist_min 

def get_user_cmd_feature(user_cmd_list,dist_max,dist_min):
	user_cmd_feature = []
	for cmd_block in user_cmd_list:
		f1 	  = len(set(cmd_block))
		fdist = sorted(FreqDist(cmd_block).items(),key = operator.itemgetter(1),reverse = True)
		f2 	  = [item[0] for item in fdist[:10]]
		f3	  = [item[0] for item in fdist[-10:]]
		f2	  = len(set(f2) & set(dist_max))
		f3    = len(set(f3) & set(dist_min))
		x 	  = [f1,f2,f3]
		user_cmd_feature.append(x)
	return user_cmd_feature

def get_label(filename,index=0):		#读取标签,index+1即用户编号
	x=[]
	with open(filename) as f:
		for line in f:
			line = line.strip('\n')
			x.append(int(line.split()[index]))
	return x

if __name__ == '__main__':
	#读取用户操作序列,并做数据清洗
	user_cmd_list,user_cmd_dist_max,user_cmd_dist_min = load_user_cmd('../Capter5/MasqueradeDat/User3')
	#将数据特征化
	user_cmd_feature = get_user_cmd_feature(user_cmd_list,user_cmd_dist_max,user_cmd_dist_min)
	#获得操作序列的标签
	labels = get_label('../Capter5/MasqueradeDat/label.txt',2)
	#label.txt中只有后100个序列的标签,前50个都是正常用户的操作序列
	y = [0]*50 + labels
	#x代表特征化的数据,这里取了前N个数据
	x_train = user_cmd_feature[0:N]
	#y代表数据的标签,这里取了前N个数据的标签
	y_train  = y[0:N]
	#N个以后的都用作测试
	x_test  = user_cmd_feature[N:150]
	y_test  = y[N:150]
	neigh   = KNeighborsClassifier(n_neighbors = 3)
	neigh.fit(x_train,y_train)
	y_predict = neigh.predict(x_test)
	score = np.mean(y_test == y_predict)*100
	print(score)


使用K近邻算法检测异常操作(二)

之前的方法只比较了最频繁和最不频繁的操作命令,这次我们尝试一下全量比较。
1、数据搜集和数据清洗
由于这次是全量化处理,所以不需要再统计频率了,函数修改成以下: 
def load_user_cmd_new(filename):
	cmd_list = []		#存储所有操作序列
	dist     = []		#存储所有命令
	with open(filename) as f:
		i = 0
		x = []			#存储每个操作序列
		for line in f:
			line = line.strip('\n')		#去掉空行
			dist.append(line)			#添加操作命令
			i+=1
			if i==100:
				cmd_list.append(x)		#每计数100个添加操作序列
				x = []					#然后将操作序列清空
				i = 0
	return cmd_list,list(set(dist))
2、特征化
特征化也很简单,对于出现过的命令置为1即可: 
def get_user_cmd_feature_new(user_cmd_list,dist):
	user_cmd_feature = []
	for cmd_block in user_cmd_list:
		v = [0]*len(dist)				#v为向量,初始全为0
		for i in range(len(dist)):
			if dist[i] in cmd_block:
				v[i] = 1				#一旦使用过某序号的命令,置为1
		user_cmd_feature.append(v)
	return user_cmd_feature

3、训练数据及验证
和之前类似,这次使用交叉验证,10次随机取样和验证,提高验证可信度。 
	#读取用户操作序列,并做数据清洗
	user_cmd_list,dist = load_user_cmd_new('../Capter5/MasqueradeDat/User3')
	#将数据特征化
	user_cmd_feature = get_user_cmd_feature_new(user_cmd_list,dist)
	#获得操作序列的标签
	labels = get_label('../Capter5/MasqueradeDat/label.txt',2)
	#label.txt中只有后100个序列的标签,前50个都是正常用户的操作序列
	y = [0]*50 + labels
	neigh   = KNeighborsClassifier(n_neighbors = 3)
	#交叉验证,10次随机取样,n_jobs=-1表示使用全部CPU运行
	print(model_selection.cross_val_score(neigh,user_cmd_feature,y,n_jobs=-1,cv=10))

最终代码为: 
#coding:utf-8
'''
	@DateTime: 	2018-01-25 16:22:47
	@Version: 	1.0
	@Author: 	Unname_Bao
'''

from nltk.probability import FreqDist
import operator
from sklearn.neighbors import KNeighborsClassifier
from sklearn import model_selection
import numpy as np

def load_user_cmd_new(filename):
	cmd_list = []		#存储所有操作序列
	dist     = []		#存储所有命令
	with open(filename) as f:
		i = 0
		x = []			#存储每个操作序列
		for line in f:
			line = line.strip('\n')		#去掉空行
			dist.append(line)			#添加操作命令
			i+=1
			if i==100:
				cmd_list.append(x)		#每计数100个添加操作序列
				x = []					#然后将操作序列清空
				i = 0
	return cmd_list,list(set(dist))

def get_user_cmd_feature_new(user_cmd_list,dist):
	user_cmd_feature = []
	for cmd_block in user_cmd_list:
		v = [0]*len(dist)				#v为向量,初始全为0
		for i in range(len(dist)):
			if dist[i] in cmd_block:
				v[i] = 1				#一旦使用过某序号的命令,置为1
		user_cmd_feature.append(v)
	return user_cmd_feature

def get_label(filename,index=0):		#读取标签,index+1即用户编号
	x=[]
	with open(filename) as f:
		for line in f:
			line = line.strip('\n')
			x.append(int(line.split()[index]))
	return x

if __name__ == '__main__':
	#读取用户操作序列,并做数据清洗
	user_cmd_list,dist = load_user_cmd_new('../Capter5/MasqueradeDat/User3')
	#将数据特征化
	user_cmd_feature = get_user_cmd_feature_new(user_cmd_list,dist)
	#获得操作序列的标签
	labels = get_label('../Capter5/MasqueradeDat/label.txt',2)
	#label.txt中只有后100个序列的标签,前50个都是正常用户的操作序列
	y = [0]*50 + labels
	neigh   = KNeighborsClassifier(n_neighbors = 3)
	#交叉验证,10次随机取样,n_jobs=-1表示使用全部CPU运行
	print(model_selection.cross_val_score(neigh,user_cmd_feature,y,n_jobs=-1,cv=10))







b0ring
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
1本书:《 Web安全机器学习入门
02-20
京东链接 网盘链接 [网盘链接提取码:c8xm](链接: ://pan.baidu.com/s/1eyt7k5KZ_fR2Xf8wOa3cIg) 目录 前言 先是Google的AlphaGo,后有百度的度秘,无人车,微软必应搜索推出的小冰也是新闻不断。这是人工智能产品的推陈出新,令人眼花缭乱,一时间给人的感觉是人工智能遍地开花。无论有人接受还是不接受,人工智能都在Swift渗透各行各业。安全作为一个传统行业,基于规则以及黑白列表的检测技术已经发展到了一定的高度,而利益驱动的黑产团伙,其技术的发展已经远远超乎我们的想象。如何利用人工智能的力量,提升安全行业的整体检测与防护能力,成为各大安全厂商研究的?。国内安全行业,经过BAT3以及大量新兴的创业企业进入企业安全领域,他们利用自身固有的数据搜集,处理,积累以及人工智能方面的优势,不断改变着着整个安全行业,安全产品的形态从硬件传统安全企业也必
PYTHON机器学习——KNN(k近邻算法
12-22
PYTHON机器学习——KNN(k近邻算法) 代码实现 首先,导入需要用到的包 import numpy as np import matplotlib.pyplot as plt 初始化模拟数据集和对应的分类 data_x=[[1.15,2.34], [1.55,2.47], [3.78,4.98], ...
web安全机器学习入门——2.机器学习概述
weixin_30301449的博客
04-08 401
目录 0 前置知识 什么是机器学习 机器学习算法 机器学习首先要解决的两个问题 一些基本概念 数据集介绍 1 正文 数据提取   数字型   文本型 数据读取 0 前置知识 什么是机器学习 通过简单示例来理解什么是机器学习 机器学习算法 属于监督式学习的算法有:回归模型,决策树,随机森林,K近邻算法,逻辑回归等算法 属于无监督式学习...
web安全机器学习入门——3.1 KNN/k近邻
weixin_30509393的博客
04-08 248
目录 sklearn.neighbors.NearestNeighbors 参数/方法 基础用法 用于监督学习 检测异常操作(一) 检测异常操作(二) 检测rootkit 检测webshell sklearn.neighbors.NearestNeighbors 参数: 方法: 基础用法 print(__doc__) fr...
Web安全机器学习入门》笔记第一章
m0_58213960的博客
01-02 3521
第一章:通向智能安全安全的旅途
机器学习web安全-K近邻算法
MrLeaper 的博客
02-08 571
使用K近邻算法检测异常操作1、数据清洗依次读取文件中每行操作命令,每100个命令组成一个操作序列,并且做了标记,统计最频繁使用的前50命令和最不频繁使用的前50命令: with open(filename) as f: i=0 x=[] for line in f: line=line.strip('\n') ...
机器学习入门到实践——MATLAB实践应用源码.zip
06-07
机器学习入门——MATLAB实战与应用》一书中的实例程序。涉及监督学习,非监督学习和强化学习。(code for book "Machine Learning Introduction & Action in MATLAB")
机器学习—K-近邻算法[入门]
12-22
机器学习—K-近邻算法入门】 K-近邻算法(K-Nearest Neighbour,简称KNN)是机器学习领域中一种基础且直观的分类和回归方法。它的核心思想是利用训练数据集中样本的“邻居关系”来对新样本进行预测。KNN算法在...
机器学习之KNN(k近邻算法详解
01-27
一、基本分类: ①监督学习(Supervisedlearning) 数据集中的每个样本有相应的“正确答案”,根据这些样本做出 预测,分有两类:回归问题和分类问题。 步骤1:数据集的创建和分类 步骤2:训练
Web安全机器学习入门》一 1.4 人工智能在安全领域的应用
weixin_34226706的博客
09-08 382
1.4 人工智能在安全领域的应用 人工智能在安全领域的应用还属于起步阶段,各大安全公司以及互联网巨头都投入大量的人力物力,试图使用人工智能的技术来颠覆安全这个行业,目前在黄反鉴定、恶意链接、业务风控领域、病毒分析、APT检测方面都取得了不错的进展,典型案例的就是2015年的一次数据挖掘比赛。2015年,微软在Kaggle上发起了一个恶意代码分类的比赛,并...
web安全机器学习入门》第5章K近邻算法读书笔记【上】
卧龙居
06-24 512
K近邻算法的思路:如果一个样本在空间上最近的K邻居大多数都属于M类,则该样本属于M类。在本章中,使用K近邻算法识别用户操作序列中的异常命令。分析数据集url:http://www.schonlau.net/数据集说明:50个用户的linux操作日志以User开头的文件为用户命令,总共有50个用户,每个文件记录了用户的15000条命令;其中前5000条是正常操作,而后10000条则包含部分异常操作l...
web安全机器学习入门笔记-图算法与知识图谱
foolisheddy
06-03 799
web安全机器学习入门笔记-图算法与知识图谱 web安全机器学习入门笔记-图算法与知识图谱 0.处理流程: 1.原始日志数据: 2.提取请求和refer字段: 3.导入图数据库 neo4j数据库脚本操作 逐行读取,生成节点以及关联关系: 更新节点出入度属性: 4.查询入度出度均为0或1的节点: 网页关联关系可视化结果: 参考: webshell具有很多访问特征,和有向...
Web安全机器学习入门》一 导读
weixin_34345753的博客
09-08 158
前  言 近几年,人工智能无疑成为人们口中的热点话题,先是谷歌的AlphaGo,后有百度的度秘、无人车,微软必应搜索推出的小冰。这一系列人工智能产品的推陈出新,令人眼花缭乱,一时间给人的感觉是人工智能遍地开花。无论人们接受还是不接受,人工智能都在迅速渗透各行各业。网络安全相比之下是一个传统行业,基于规则以及黑白名单的检测技术已经发展到了一定的瓶颈...
Web安全机器学习入门》学习笔记
怦然心动丶的博客
09-06 402
算法 K近邻算法(K-Nearest Neighbor,KNN) 1.1.1 概念 K个最近的邻居,及每个样本都可以用它最接近的K个邻居代表。核心思想是如果样本附近的K个最相邻样本大多数属于某一个类别,则该样本也属于这个类别,并具有这个类别样本的特性。(适合类域交叉或重叠较多的待分样本集) 1.1.2 算法步骤 step.1---初始化距离为最大值; step.2---计算未知...
Web安全机器学习入门》一 1.2 人工智能的发展
weixin_33739646的博客
09-08 139
1.2 人工智能的发展 1.谷歌大脑谷歌大脑是“Google X实验室”一个主要研究项目,是谷歌在人工智能领域开发出的一款模拟人脑的软件,这个软件具备自我学习功能。Google X部门的科学家们通过将1.6万台电脑的处理器相连接建造出了全球为数不多的最大中枢网络系统,它能自主学习,所以称之为“谷歌大脑”。2012年,谷歌的工程师曾经公布了一个令人激动的研...
Web安全机器学习入门》笔记:第九章 9.4 支持向量机算法SVM 检测DGA域名
mooyuan的博客
02-01 1067
DGA(Domain Generation Algorithm)域名生成算法是一种利用随机字符等算法来生成C&C域名,从而逃避安全设备域名黑名单检测的技术手段。 1.黑样本 def load_dga(filename): domain_list=[] #xsxqeadsbgvpdke.co.uk,Domain used by Cryptolocker - Flashback DGA for 13 Apr 2017,2017-04-13, # http://osint..
Web安全机器学习入门》笔记:第十二章 12.2 隐式马尔可夫 hello world
mooyuan的博客
02-04 190
本小节,通过一个实例讲述马尔可夫的基本使用方法。 1、导入相关库文件 import numpy as np import matplotlib.pyplot as plt from hmmlearn import hmm 2、训练模型 startprob = np.array([0.6, 0.3, 0.1, 0.0]) # The transition matrix, note that there are no transitions possible # between component
Web安全机器学习入门》笔记:第十二章 12.4 隐式马尔可夫算法识别XSS攻击(二)
mooyuan的博客
02-03 934
本小节
机器学习入门
william的专栏
03-07 1128
机器学习
机器学习入门:从基础到K近邻算法
"这是一份关于2022年机器学习的学习笔记,由一名大二学生整理,涵盖了机器学习的基本概念、监督学习与无监督学习、分类与回归、数据集与特征、特征工程、过拟合与欠拟合,以及K最近邻算法的原理和思想。笔记中还提及...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值