学习笔记(一):使用K近邻算法检测web异常操作

最新推荐文章于 2024-01-25 23:04:35 发布
最新推荐文章于 2024-01-25 23:04:35 发布
阅读量989 收藏 2
点赞数
分类专栏: web安全 算法 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39878297/article/details/83041381
版权
本文介绍了如何通过收集Linux服务器的bash操作日志,训练K近邻(KNN)模型来识别用户的操作习惯并检测异常行为。数据集包含50个用户的日志,其中包含正常和异常操作。特征化过程包括去重操作命令个数、最频繁及最不频繁命令的重合度。经过训练,模型在测试集上的准确率为80%。
摘要由CSDN通过智能技术生成

黑客入侵Web服务器后,通常会通过系统漏洞进一步提权,获得ROOT权限。我们可以通过搜集LINUX服务器的bash操作日志,通过训练识别出特定用户的操作习惯,然后进一步识别出异常操作的行为。

1.数据搜集

       训练集包括50个用户的操作日志,每个日志包括15000个操作命令,其中5000条都是正常操作,后面的10000条日志中随机包含有异常操作,每100条操作作为一个操作序列,保存在列表里面,同时进行标注,每个操作序列只要有1条操作异常就认为这个操作序列异常。

with open(filename) as f:
    i=0
    x=[]
    for line in f:
        line = line.strip('\n')
        x.append(line)
        dist.append(line)
        i+=1
        if i==100:
            cmd_list.append(x)
            x=[]
            i=0

        统计最频繁使用的前50个命令和最不频繁的前50个命令:

fdist = FreqDist(dist).key()
dist_max = set(fdist[0:50])
dist_min = set(fdist[-50:])

2.特征化

       (1)去重操作命令个数。以100个命令为统计单元,作为一个操作序列,去重后的操作命令个数作为特征。

       (2)最频繁使用的前10个命令,以及

最低0.47元/天 解锁文章
林咚咚
关注
专栏目录
2024年 毕业设计 机器学习&深度学习实战案例,含有python代码和教程 (7月10日已更新711篇)
sybh的博客
10-05 6431
10月促销价39.9,适合初学python机器学习深度学习的学生,从入门到精通,专栏内含有讲解,每篇文章都含有对应的代码,会持续更新,更新至千篇案例,已经更新六百多个项。
学习笔记(四):使用K近邻算法检测WebShell
盐可
10-14 509
1.数据搜集       加载ADFA-LD中正常样本数据: def load_adfa_training_files(rootdir): x=[] y=[] list = os.listdir(rootdir) for i in range(0, len(list)): path=os.path.join(rootdir,list[i]) ...
机器学习笔记(6)---K-近邻算法(4)---使用K近邻算法检测异常操作之一
终身学习的程序猿
02-11 4329
前言 接着前面三篇学习笔记《约会对象魅力程度分类》、《使用sklearn中的KNN算法》和《KNN手写识别系统》,本节记录使用K近邻算法检测异常操作,主要参考《Web安全之机器学习》 。 转载请注明出处:http://blog.csdn.net/rosetta 使用K近邻算法检测异常操作之一 实验数据及情况 实验数据在Schonlau个人网站中:http://www.schonl...
学习笔记(二):使用K近邻算法检测Web异常操作
盐可
10-13 634
使用全量比较,而不是最频繁和最不频繁的比较。 1.数据搜集        我们使用词集的模型,将全部命令去重后形成一个大型向量空间,每个命令代表一个特征,首先通过遍历全部命令,生成对应词集。 with open(filename) as f: for line in f: line = line.strip('\n') dist.append(line) fdist = F...
Web安全之机器学习入门》笔记:第五章 5.4 K近邻检测异常操作(二)
mooyuan的博客
01-30 404
与5.2py不同之处: 1.相对于5.2的load_user_cmd,统计了去重的操作数,去掉了最高和最低频率相关 def load_user_cmd_new(filename): ''' 相对于5.2的load_user_cmd,去除了最频繁的N个命令与最不频繁的N个命令 ''' cmd_list=[] dist=[] with open(filename) as f: i=0 x=[] for line
异常检测系列:K最近邻算法KNN
最新发布
数智笔记
01-25 1747
上表显示了正常组和异常组的特征。它显示了正常组和异常组的计数和计数百分比。请记住,在有效的展示中,要用特征名称标记特征。一旦确定了阈值,大小就确定了。如果阈值是从图(D.2)中得出的,并且没有先验知识,那么大小统计数据成为一个很好的起点参考。所有均值必须与领域知识一致。在我们的案例中,异常组的均值小于正常组的均值。异常组的平均分数应该高于正常组的分数。您不需要过多解释分数。因为我们在数据生成中有真实值,所以我们可以生成一个混淆矩阵来了解模型的性能。该模型表现不错,并且识别出了所有的25个异常值。
机器学习web安全-K近邻算法
MrLeaper 的博客
02-08 579
使用K近邻算法检测异常操作1、数据清洗依次读取文件中每行操作命令,每100个命令组成一个操作序列,并且做了标记,统计最频繁使用的前50个命令和最不频繁使用的前50个命令: with open(filename) as f: i=0 x=[] for line in f: line=line.strip('\n') ...
机器学习笔记(3)---K-近邻算法(1)---约会对象魅力程度分类
终身学习的程序猿
01-27 1400
参考资料 《机器学习实战》,Machine Learning in Action,本文中简称MLiA 《机器学习》周志华,本文简称西瓜书 《Web安全之机器学习》刘焱著,本文中简称WSML(Web Security in Machine Learning,该英文翻译只为记录方便,是本人杜撰的,仅限本系列文章使用) 转载请注明出处:http://blog.csdn.net/rosetta/a...
IDS-ML:使用机器学习的入侵检测系统代码库
ML:一个使用机器学习的Li YangJiang,Abdallah Shami电子与计算机工程系,西安大略大学,1151里士满街,伦敦,安大略省,加拿大N6A 3K7,A R T I C L E I N F O保留字:入侵检测系统机器学习嵌入式学习超参数优化零...
读书笔记(一) 数据挖掘简要介绍
weixin_49927325的博客
07-13 780
前言:此文是【读书笔记|大数据时代的数据挖掘】系列的第一篇,是笔者关于《大数据时代的数据挖掘》一书的读书笔记,每一章会写一篇笔记,此文是关于第一章内容的笔记。 目录: 目录 一、大数据时代的数据挖掘 1、大数据的特点4V+4V 一、大数据时代的数据挖掘 数据的产生和搜集是基础,数据挖掘泛指从大量数据中挖掘出隐含的、先前未知但潜在的有用信息的一个工程化和系统化的过程。 1、大数据的特点4V+4V 从数据的变现形式 海量volume 多样variety 高速velocity 价值value
《机器学习实战》—— k-近邻算法
LIAO_0312的博客
09-28 663
目录一、k-近邻算法概述二、使用k-近邻算法改进约会网站的配对效果 一、k-近邻算法概述 简单地说,k-近邻算法采用测量不同特征值之间的距离方法进行分类。 k-近邻算法 优点:精度高、对异常值不敏感、无数据输入假定。 缺点:计算复杂度高、空间复杂度高。 适用数据范围:数值型和标称型。 k-近邻算法kNN),它的工作原理是:存在一个样本数据集合,也称作训练样本集,并且样本集中每个数据都存在标签,即我们知道样本集中每一数据与所属分类的对应关系。输入没有标签的新数据后,将新数据的每个特征与样本集中数据对应的
KNN除了可以做分类和预测,你还知道它可以识别异常值吗?
lsxxx2011的专栏
08-05 775
前言 首先跟各位读者朋友道个歉,这篇文章来的较晚,距离上一篇有关数据分析中异常值的判断已超过3个月。在《Python数据清洗--异常值识别与处理01》文中,介绍了两种单变量的异常识别方法,分别是分位数法(即借助于箱线图的策略)和Sigma法(即借助于正态分布的假设)。 然而这两种方法,并不能从全局的角度识别出数据中可能存在的异常点。为解决这个问题,本文将借助于KNN模型的思想,从多变量的...
【机器学习异常检测算法之(KNN)-K Nearest Neighbors
fengdu78的博客
04-25 5938
sklearn库里的KNN并没有直接用于异常检测,但是包含了距离计算的函数,所以我们应用PyOD中KNN库进行异常检测,里面基本上也是调用sklearn的函数进行计算,并进行了一些加工。一、图解KNN异常算法KNN怎么进行无监督检测呢,其实也是很简单的,异常点是指远离大部分正常点的样本点,再直白点说,异常点一定是跟大部分的样本点都隔得很远。基于这个思想,我们只需要依次计...
K近邻算法检测异常操作及病毒
qq_42646885的博客
08-11 1613
1、简介 K邻近算法(K-Nearest Neighbor,KNN),就是K个最近的邻居的意思,就是说每个样本都可以用它最接近的K个邻居来代表。 KNN算法的核心是,如果一个样本在特征空间中的K个最相邻的样本中的大多数属于某一个类别,则该样本也属于这个类别,并具有这个类别上样本的特性。 KNN常用的算法:Brute Force、K-D Tree、Ball Tree. 2、一个简单示例 用...
使用多种算法检测用户异常操作行为
不忘初心,护天下安全!
03-05 4123
数据集 www.schonlau.net,包含50个用户的操作日志,每个日志中有15000条操作指令,前5000条都是正常操作,后10000条包含随机的异常操作。 1.使用K近邻算法检测异常操作 思想:取使用最频繁的和最不频繁的操作命令。 # -*- coding:utf-8 -*- import sys import urllib import urlparse import re ...
使用K近邻算法检测Rootkit、WebShell
MrLeaper 的博客
02-08 1178
使用K近邻算法检测Rootkit基于telnet连接的rootkit检测流程:KDD 99 数据(41维特征)->筛选与rootkit相关特征->基于tcp内容的特征->向量化->与rootkit相关的特征向量->KNN算法+10折交叉验证->评估效果1、数据搜集和清洗这里用的是KDD 99数据集,筛选标记为rootkit和normal且是telnet协议的数据...
机器学习应用之WebShell检测
Mi1k7ea
12-09 6609
本文主要参考自兜哥的《Web安全之机器学习入门》 前段时间在研究WebShell的检测查杀,然后看到兜哥的著作中提到的几个机器学习算法中也有实现WebShell检测的,主要有朴素贝叶斯分类、K邻近算法、图算法、循环神经网络算法等等,就一一试试看效果吧。 Python中的几个机器学习的库 1、numpy: 安装:pip install --user numpy 2、SciPy:
Web安全之机器学习 | 朴素贝叶斯算法
qq_42646885的博客
08-13 468
1、朴素贝叶斯算法概述 贝叶斯分类是一系列分类算法的总称,这类算法均以贝叶斯定理为基础,故统称为贝叶斯分类。其中朴素贝叶斯(Naive Bayesian,NB)是其中应用最广泛的分类算法之一。通常企业和大型邮件服务商都会提供拦截垃圾的功能,最常见的一种算法就是基于朴素贝叶斯的文本分类算法,大体思路是通过学习大量的垃圾邮件和正常邮件样本,让朴素贝叶斯训练出文本分类模型。 NB算法是基于贝叶斯定理...
一文吃透Linux提权
weixin_45727359的博客
11-07 2483
来自公众号:FreeBuf作者:dnsill0x001 linux提权描述大多数计算机系统设计为可与多个用户一起使用。特权是指允许用户执行的操作。普通特权包括查看和编辑文件或修改系统文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值