学习笔记(三):使用K近邻算法检测Rootkit

最新推荐文章于 2023-07-20 17:54:06 发布
最新推荐文章于 2023-07-20 17:54:06 发布
阅读量643 收藏 4
点赞数
分类专栏: web安全 算法 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39878297/article/details/83047479
版权
python 同时被 3 个专栏收录
21 篇文章 1 订阅
订阅专栏
web安全
14 篇文章 3 订阅
订阅专栏
算法
13 篇文章 1 订阅
订阅专栏

      Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身以及指定的文件,进程和网络链接等信息。

1.数据搜集

       KDD 99 TCP连接内容特征包括hot ,num_faild_logins ,logged_in ,num_compromised ,root_shell ,su_attempted ,num_root ,num_file_creations ,num_shells ,num_access_files ,num_outbound_cmds ,is_hot_login ,is_guest_login

       加载KDD99数据集中的数据:

def load_kdd99(filename):
    x=[]
    with open(filename) asf:
        for line in f:
            line=line.strip('\n')
            line=line.split(',')
            x.append(line)
    return x

      筛选标记为Rootkit和normal且是telnet协议的数据:

if (x1[41] in ['rootkit.','normal.']) and (x1[2]=='telnet'):
    if x1[41]=='rootkit.':
        y.append(1)
    else:
        y.append(0)

2.特征化:挑选Rootkit有关的特征作为样本特征

x1 = x1[9:21]
v.append(x1)
for x1 in v:
    v1 =[]
    for x2 in x1:
        v1.append(float(x2))
    w.append(v1)

3.训练样本

clf = KNeighborsClassifier(n_neighbors = 3)

4.效果验证

print cross_validation.cross_val_score(clf, x, y, n_jobs=-1, cv=10)

 

林咚咚
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
【标题】: "kprobe_rootkit: 使用kprobes技术构建的Linux内核Rootkit" 在Linux操作系统中,内核rootkit是一种高级的攻击手段,它允许攻击者隐藏其活动并控制系统的底层层面。其中,"kprobe_rootkit"是一个利用...
使用K近邻算法检测Rootkit、WebShell
MrLeaper 的博客
02-08 1163
使用K近邻算法检测Rootkit基于telnet连接的rootkit检测流程:KDD 99 数据(41维特征)->筛选与rootkit相关特征->基于tcp内容的特征->向量化->与rootkit相关的特征向量->KNN算法+10折交叉验证->评估效果1、数据搜集和清洗这里用的是KDD 99数据集,筛选标记为rootkit和normal且是telnet协议的数据...
Linux平台下木马rootkit检测和防范
最新发布
靠谱运维
07-20 1873
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkit是Linux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
《Web安全之机器学习入门》笔记:第五章 5.5 K近邻检测Rootkit
mooyuan的博客
01-30 624
1.Rootkit是什么? “Rootkit”中root术语来自于unix领域。由于unix主机系统管理员账号为root账号,该账号拥有最小的安全限制,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。然而能够“root”一台主机并不意味着能持续地控制它,因为管理员完全可能发现了主机遭受入侵并采取清理措施。因此Rootkit的初始含义就在于“能维持root权限的一套工具”。 毫无疑问,这是一个恶意软件 2.kddcup99数据集 该数据集是从一个模拟的美国空军局域网上采集来的9周的网络连接
Rootkit检测技术发展现状
sangfor_edu的博客
04-14 1690
Rootkit 这一概念最早出现于上个世纪九十年代初期,CERT Coordination Center(CERT/CC) 于1994年在 CA-1994-01 这篇安全咨询报告中使用Rootkit 这个词汇。在这之后 Rootkit 技术发展迅速,这种快速发展的态势在 2000 年达到了顶峰。2000年后,Rootkit 技术的发展也进入了低潮期,但是对于 Rootkit 技术的研究却并未停滞。在 APT 攻击日益流行的趋势下,Rootkit 攻击和检测技术也同样会迎来新的发展高潮。 在往期的Roo
学习笔记(一):使用K近邻算法检测web异常操作
盐可
10-13 966
黑客入侵Web服务器后,通常会通过系统漏洞进一步提权,获得ROOT权限。我们可以通过搜集LINUX服务器的bash操作日志,通过训练识别出特定用户的操作习惯,然后进一步识别出异常操作的行为。 1.数据搜集        训练集包括50个用户的操作日志,每个日志包括15000个操作命令,其中5000条都是正常操作,后面的10000条日志中随机包含有异常操作,每100条操作作为一个操作序列,保存在...
rootkit_detect:Rootkit 检测工具的存储库
06-28
rootkit_detect: Rootkit检测工具的存储库】 ...总的来说,rootkit_detect是网络安全防护的重要组成部分,通过深入学习使用这个工具,我们可以提高对系统安全性的理解和保护,对抗日益复杂和隐蔽的rootkit攻击。
Rootkit木马隐藏技术分析与检测技术综述
02-08
检测Rootkit木马的技术可以分为类:一种是基于进程对象的检测技术,另一种是基于SSDT表的检测技术,最后一种是基于寄存器CR0的检测技术。基于进程对象的检测技术可以检测Rootkit木马的存在,而基于SSDT表的检测...
WIN_JELLY:Team Jellyfish 的 Windows GPU rootkit PoC
06-07
通过理解这些关键点,我们可以深入学习GPU rootkit的技术细节,C语言在创建这类工具时的角色,以及开源社区如何通过共享知识来提升网络安全。同时,这也提醒我们在日常操作中加强系统防护,防止类似威胁。
rootkit:使用c制作的恶意root工具包
03-12
rootkit 使用c制作的恶意root工具包
机器学习-检测webshell
07-18
基于决策树的webshell检测,k-近邻算法是基于实例的学习使用算法时我们必须有接近实际数据 的训练样本数据,k-近邻算法必须报错全部数据集,如果训练数据集的很大 必须使用大量的存储空间,此外,由于必须对数据集中的每个数据计算距离, 实际使用可能非常耗时 k-近邻算法的另一个缺陷时它无法给出任何数据的基础结构信息,因此我们也无法知晓 平均实例样本和典型实例样本具有什么特征。 决策树也是最经常使用的数据挖掘算法 决策树的优势在于数据形式非常容易理解 决策树的一个重要任务时为了数据中所蕴含的知识信息,因此决策树可以使用不熟悉的 数据集合,并从中提取出一系列规则 决策树 优点:计算复杂度不高,输出结果易于理解,对中间值的缺失不敏感 可以处理不相关特征数据 缺点:可能会产生过度匹配的问题。 适用数据类型:数值型和标称型。 我们必须采用量化的方法判断如何划分数据。 在划分数据集之前之后信息发生的变化称为信息增益,知道如何计算信息增益 我们就可以计算每个特征值划分数据集获得的信息增益,获得信息增益最高的特征 就是最好的选择。 如何计算信息增益,集合信息的度量方式,集合信息的度量方式称为香农熵。或熵。
使用多种机器学习算法挖掘KDD99记录中的攻击记录
不忘初心,护天下安全!
03-04 6364
KDD 99数据集 众所周知,KDD是知识发现与发掘英文的简称,KDD CUP是ACM年度竞赛。KDD 99 就是这个竞赛在1999年使用的数据集。这个数据集的来源是这样的,林肯实验室建立了模拟美国空军局域网的网络环境,收集了9周的网络连接和系统审计数据,仿真各种用户类型、各种不同的网络流量和攻击手段。 数据集特点:前41项为特征,第42项为标记 41个特征划分为4大类: TCP连接基本特...
KNN检测Rootkit
ailx10
11-20 254
Rootkit是啥?就是后门工具箱,它的功能是在肉鸡上隐藏自身以及指定的文件、进程和网络链接等信息。1.数据搜集和数据清洗KDD99样本数据,通过KNN识别基于Telnet连接的Rootkit行为。Rootkit相关特征主要是TCP连接的内容特征,包含41个。第42个值是标签,前41个值得含义如下,其中9--21和识别rootkit相关。duration: continuous. protocol...
机器学习笔记(6)---K-近邻算法(4)---使用K近邻算法检测异常操作之一
终身学习的程序猿
02-11 4323
前言 接着前面学习笔记《约会对象魅力程度分类》、《使用sklearn中的KNN算法》和《KNN手写识别系统》,本节记录使用K近邻算法检测异常操作,主要参考《Web安全之机器学习》 。 转载请注明出处:http://blog.csdn.net/rosetta 使用K近邻算法检测异常操作之一 实验数据及情况 实验数据在Schonlau个人网站中:http://www.schonl...
web安全之机器学习入门——3.1 KNN/k近邻
weixin_30509393的博客
04-08 248
目录 sklearn.neighbors.NearestNeighbors 参数/方法 基础用法 用于监督学习 检测异常操作(一) 检测异常操作(二) 检测rootkit 检测webshell sklearn.neighbors.NearestNeighbors 参数: 方法: 基础用法 print(__doc__) fr...
K近邻算法检测异常操作及病毒
qq_42646885的博客
08-11 1596
1、简介 K邻近算法(K-Nearest Neighbor,KNN),就是K个最近的邻居的意思,就是说每个样本都可以用它最接近的K个邻居来代表。 KNN算法的核心是,如果一个样本在特征空间中的K个最相邻的样本中的大多数属于某一个类别,则该样本也属于这个类别,并具有这个类别上样本的特性。 KNN常用的算法:Brute Force、K-D Tree、Ball Tree. 2、一个简单示例 用...
rootkit检测、病毒查杀、webshell检测
奔跑的犀牛
03-13 3252
一、chkrootkit 1、下载rootkit wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz 2、安装 tar xf chkrootkit.tar.gz 3、使用 cd chkrootkit-0.52/ ./chkrootkit |grep INFECTED 没有出现INFECTED说明系统没有问题 二、rkhu...
学习使用决策树和随机森林算法检测暴力破解
不忘初心,护天下安全!
02-20 1641
1.使用决策树算法检测POP3暴力破解 # -*- coding:utf-8 -*- import re import matplotlib.pyplot as plt import os from sklearn.feature_extraction.text import CountVectorizer from sklearn import cross_validation impor...
linux Rootkit检查
bjgaocp的博客
10-11 2135
Rootkit是linux系统下常见一种木马后门程序,通过替换系统文件来达到隐藏和入侵的目的,攻击能力极强 Rootkit分类和原理: 隐藏进程 隐藏文件 隐藏网络端口 后门功能 键盘记录 Rootkit主要分一下两种 1 用户态:一般通过覆盖系统二进制和库文件来实现 2 内核态: 通常通过可加载内核模块将恶意代码直接加载进内核中 利用Chkrootkit检测Rootkit...
内核级RootKit检测系统:创新的系统安全防护
"内核级RootKit检测系统是一款专门针对RootKit、木马和后门进行检测的反黑软件,旨在提升系统安全性。该系统强调内核级别的深度检测,并运用了新的内核技术来对抗日益发展的Rootkit威胁。相较于其他工具,其优势在于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值