学习笔记(二):使用K近邻算法检测Web异常操作

最新推荐文章于 2022-04-25 14:27:27 发布
最新推荐文章于 2022-04-25 14:27:27 发布
阅读量588 收藏 3
点赞数 1
分类专栏: web安全 算法 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39878297/article/details/83042181
版权
python 同时被 3 个专栏收录
21 篇文章 1 订阅
订阅专栏
web安全
14 篇文章 3 订阅
订阅专栏
算法
13 篇文章 1 订阅
订阅专栏

使用全量比较,而不是最频繁和最不频繁的比较。

1.数据搜集

       我们使用词集的模型,将全部命令去重后形成一个大型向量空间,每个命令代表一个特征,首先通过遍历全部命令,生成对应词集。

with open(filename) as f:
for line in f:
    line = line.strip('\n')
    dist.append(line)
fdist = FreqDist(dist).key()

2.特征化

      使用词集将操作命令向量化。

def get_user_cmd_feature_new(user_cmd_list,dist):
    user_cmd_feature=[]
    for cmd_list in user_cmd_list:
        v=[0]*len(dist)
        for i in range(0,len(dist)):
            if dist[i] in cmd_list:
                v[i] += 1
          user_cmd_feature.append(v)
return user_cmd_featrue

3.训练模型

user_cmd_list,dist = load_user_cmd_new("..")
user_cmd_featrue = get_user_cmd_feature_new(user_cmd_list,dist)

labels = get_label("...",2)
y = [0]*50+labels
neigh =KneightborsClassifier(n_neighbors = 3)

4.效果验证

       使用交叉验证,10次取样和验证,提高验证可信度。

cross_validation.cross_val_score(neight, user_cmd_feature, y, n_jobs=-1, cv=10)

       准确率达到93%

林咚咚
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
学习笔记(一):使用K近邻算法检测web异常操作
盐可
10-13 957
黑客入侵Web服务器后,通常会通过系统漏洞进一步提权,获得ROOT权限。我们可以通过搜集LINUX服务器的bash操作日志,通过训练识别出特定用户的操作习惯,然后进一步识别出异常操作的行为。 1.数据搜集        训练集包括50个用户的操作日志,每个日志包括15000个操作命令,其中5000条都是正常操作,后面的10000条日志中随机包含有异常操作,每100条操作作为一个操作序列,保存在...
机器学习笔记(7)---K-近邻算法(5)---使用K近邻算法检测异常操作
终身学习的程序猿
02-11 690
前言 上一节给出了使用K近邻算法检测异常操作的一种方法,现给出另外一种方法。 转载请注明出处:http://blog.csdn.net/rosetta 使用K近邻算法检测异常操作 这节的内容和上节总体上类型,区别在于,上一节比较的是最频繁使用的命令和最不频繁使用的命令,而这次使用全量比较全量比较的思路仅仅特征选择上不太一样,它先统计所有15000条样本中不重复的命令条数(假设...
Web安全之机器学习入门》笔记:第五章 5.4 K近邻检测异常操作
mooyuan的博客
01-30 386
与5.2py不同之处: 1.相对于5.2的load_user_cmd,统计了去重的操作数,去掉了最高和最低频率相关 def load_user_cmd_new(filename): ''' 相对于5.2的load_user_cmd,去除了最频繁的N个命令与最不频繁的N个命令 ''' cmd_list=[] dist=[] with open(filename) as f: i=0 x=[] for line
机器学习笔记(6)---K-近邻算法(4)---使用K近邻算法检测异常操作之一
终身学习的程序猿
02-11 4317
前言 接着前面三篇学习笔记《约会对象魅力程度分类》、《使用sklearn中的KNN算法》和《KNN手写识别系统》,本节记录使用K近邻算法检测异常操作,主要参考《Web安全之机器学习》 。 转载请注明出处:http://blog.csdn.net/rosetta 使用K近邻算法检测异常操作之一 实验数据及情况 实验数据在Schonlau个人网站中:http://www.schonl...
【机器学习笔记】基于k-近邻算法的数字识别
qq_42820064的博客
10-26 274
更多详细内容参考《机器学习实战》 k-近邻算法简介 简单的说,k-近邻算法采用测量不同特征值之间的距离方法进行分类。它的工作原理是:存在一个样本数据集合,也称作训练样本集,并且样本集中每个数据都存在标签,即我们知道样本集中每个数据与所属分类的对应关系。输入没有标签的新数据后,将新数据的每个特征与样本集中数据对应的特征进行比较,然后算法提取样本集中特征最相似(最近邻)数据的分类标签。一般来说,我们只...
K临近算法检测异常操作(一)
qq_44465615的博客
11-23 2012
概述 K近邻(K-Nearest Neighbor,KNN算法是机器学习领域使用最广 泛的算法之一,所谓KNN,就是K个最近的邻居的意思,说的是每个样 本都可以用它最接近的K个邻居来代表。KNN算法的核心思想是:如果 一个样本在特征空间中的K个最相邻的样本中的大多数属于某一个类 别,则该样本也属于这个类别,并具有这个类别上样本的特性。该方法在确定分类决策时,只依据最邻近的一个或者 几个样本的类别来决定待分样本所属的类别。KNN方法在类别决策时, 只与极少量的相邻样本有关。由于KNN方法主要靠周围有限的邻近
K-近邻算法KNN学习笔记
01-27
K-近邻算法(K-Nearest Neighbor, KNN)是一种基础的机器学习算法,主要用于分类和回归任务。它的核心思想是基于实例的学习,通过在训练数据集中寻找与新样本最为相似的邻居来做出预测。KNN算法由Cover T和Hart P在...
统计学习方法——K近邻法(学习笔记
01-06
K近邻法的三个基本要素:K值的选择、距离度量、分类决策规则。 下面介绍一下kd树、搜索kd树的过程以及相关代码。 1.K近邻算法 根据给定的训练数据集,对新的实例,在训练数据集中找出与该实例最近邻的K个实例,这K个...
安全:Web安全学习笔记
02-26
这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Windows和SqlServer的安全管理...
C#Web应用程序入门经典学习笔记
01-20
读取Web.config中设置 Conn = new SqlConnection(ConfigurationSettings.AppSettings[“cnFriends.ConnectString”]); <appSettings> <!– User application and configured property settings go ...
使用K近邻算法检测Rootkit、WebShell
MrLeaper 的博客
02-08 1156
使用K近邻算法检测Rootkit基于telnet连接的rootkit检测流程:KDD 99 数据(41维特征)-&gt;筛选与rootkit相关特征-&gt;基于tcp内容的特征-&gt;向量化-&gt;与rootkit相关的特征向量-&gt;KNN算法+10折交叉验证-&gt;评估效果1、数据搜集和清洗这里用的是KDD 99数据集,筛选标记为rootkit和normal且是telnet协议的数据...
Web安全之机器学习入门》笔记:第五章 5.5 K近邻检测Rootkit
mooyuan的博客
01-30 618
1.Rootkit是什么? “Rootkit”中root术语来自于unix领域。由于unix主机系统管理员账号为root账号,该账号拥有最小的安全限制,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。然而能够“root”一台主机并不意味着能持续地控制它,因为管理员完全可能发现了主机遭受入侵并采取清理措施。因此Rootkit的初始含义就在于“能维持root权限的一套工具”。 毫无疑问,这是一个恶意软件 2.kddcup99数据集 该数据集是从一个模拟的美国空军局域网上采集来的9周的网络连接
机器学习web安全-K近邻算法
MrLeaper 的博客
02-08 568
使用K近邻算法检测异常操作1、数据清洗依次读取文件中每行操作命令,每100个命令组成一个操作序列,并且做了标记,统计最频繁使用的前50个命令和最不频繁使用的前50个命令: with open(filename) as f: i=0 x=[] for line in f: line=line.strip('\n') ...
基于CallStack的反Rootkit HOOK检测
02-22 1314
Anti-Rootkit目前扫描Hook的方法主要有以下几种:   1.对抗inline -hook ,IAT/EAT Hook   Anti-Rootkit使用读取磁盘上系统文件并将之进行map\重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/IAT HOOK,后同),类似的工具例如Rootkit Unhooker, gmer, Icesword等等。
【机器学习异常检测算法之(KNN)-K Nearest Neighbors
fengdu78的博客
04-25 5610
sklearn库里的KNN并没有直接用于异常检测,但是包含了距离计算的函数,所以我们应用PyOD中KNN库进行异常检测,里面基本上也是调用sklearn的函数进行计算,并进行了一些加工。一、图解KNN异常算法KNN怎么进行无监督检测呢,其实也是很简单的,异常点是指远离大部分正常点的样本点,再直白点说,异常点一定是跟大部分的样本点都隔得很远。基于这个思想,我们只需要依次计...
K近邻算法检测异常操作及病毒
qq_42646885的博客
08-11 1592
1、简介 K邻近算法(K-Nearest Neighbor,KNN),就是K个最近的邻居的意思,就是说每个样本都可以用它最接近的K个邻居来代表。 KNN算法的核心是,如果一个样本在特征空间中的K个最相邻的样本中的大多数属于某一个类别,则该样本也属于这个类别,并具有这个类别上样本的特性。 KNN常用的算法:Brute Force、K-D Tree、Ball Tree. 2、一个简单示例 用...
异常检测1——python使用KNN模型进行异常检测
呆萌的代Ma
12-19 3168
pyod github项目地址:https://github.com/yzhao062/pyod pyod 文档地址:https://pyod.readthedocs.io/en/latest/ 数据源:https://github.com/zrnsm/pyculiarity/blob/master/tests/raw_data.csv 代码示例 from pyod.models.knn import KNN # 使用KNN异常检测 import pandas as pd def get_data()
(一) KNN---异常行为检测
不犹豫~不后悔
08-23 2214
文章目录 一、项目说明 linux系统主机安全检测,除了使用系统自带命令简单粗暴检测入侵类型如异常登录、异常网络链接等,对于如恶意命令、rookit等类型的检测,除了基于规则(如设置黑白名单、shell 命令)的方式外,需要进一步使用机器学习辅助检测。本次使用k近邻检测执行异常指令。本次数据使用 http://www.schonlau.net/ 上发布的针对linux操作的训练数据。 、数据初步探索 1、查看用户操作命令文件(共计约3M左右) import os user_50_cmd_li = os.l
使用多种算法检测用户异常操作行为
不忘初心,护天下安全!
03-05 4075
数据集 www.schonlau.net,包含50个用户的操作日志,每个日志中有15000条操作指令,前5000条都是正常操作,后10000条包含随机的异常操作。 1.使用K近邻算法检测异常操作 思想:取使用最频繁的和最不频繁的操作命令。 # -*- coding:utf-8 -*- import sys import urllib import urlparse import re ...
机器学习2022学习笔记(课上)
最新发布
02-19
"这是一份关于2022年机器学习学习笔记,由一名大学生整理,涵盖了机器学习的基本概念、监督学习与无监督学习、分类与回归、数据集与特征、特征工程、过拟合与欠拟合,以及K最近邻算法的原理和思想。笔记中还提及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值