python机器学习实现对基于TCP协议的DDOS攻击的流量监测器

最新推荐文章于 2025-02-23 14:02:39 发布
最新推荐文章于 2025-02-23 14:02:39 发布
阅读量4.9k 收藏 122
点赞数 16
分类专栏: ddos 文章标签: ddos python 机器学习 cart分类回归树
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46447549/article/details/115311228
版权

文章目录

本文记录用python机器学习实现对基于TCP协议的DDOS攻击的流量监测。基本原理是假设将流量包分组,每100个流量包为一组,用一些反应每组流量包整体特征的数据作为依据,判断抓取这组流量包时主机是否遭遇了DDOS攻击。以下是学习的详细记录。

一、Wireshark抓包工具使用以及数据包分析

wireshark可以分析导入的日志记录,也可以实时监控本地接口。其基本使用方法有数据包筛选、数据包搜索、数据包分析等。由于此时使用的是WIFI,故选用WLAN接口。
在这里插入图片描述
在这里插入图片描述

1.数据包筛选

在显示过滤器中输入以下规则的字符串可以进行数据筛选。
①目的ip筛选:ip.dst = = ip地址
②mac地址筛选:
目标mac地址筛选: eth.dst = =A0:00:00:04:C5:84 ;
mac地址筛选: eth.addr= =A0:00:00:04:C5:84
③端口筛选:
筛选tcp协议的目标端口为80 的流量包:tcp.dstport = = 80
筛选tcp协议的源端口为80 的流量包:tcp.srcport = = 80
筛选udp协议的源端口为80 的流量包:udp.srcport = = 80
④协议筛选:
筛选协议为tcp的流量包:tcp
筛选协议为udp的流量包:udp
筛选协议为arp/icmp/http/ftp/dns/ip的流量包:arp/icmp/http/ftp/dns/ip
⑤包长度筛选:
筛选长度为20的udp流量包:udp.length = =20
筛选长度大于20的tcp流量包:tcp.len >=20
筛选长度为20的IP流量包:ip.len = =20
筛选长度为20的整个流量包:frame.len = =20
⑥http请求筛选:
筛选HTTP请求方法为GET的流量包:http.request.method==“GET”
筛选HTTP请求方法为POST的流量包:http.request.method==“POST”
筛选URL为/img/logo-edu.gif的流量包:http.request.uri==“/img/logo-edu.gif”
筛选HTTP内容为FLAG的流量包:http contains “FLAG”

2.数据包搜索

在wireshark界面按“Ctrl+F”,可以进行关键字搜索。搜索栏的左边下拉,有分组列表、分组详情、分组字节流三个选项,分别对应wireshark界面的三个部分,搜索时选择不同的选项以指定搜索区域。
在这里插入图片描述

3.数据包分析

在分组详情一栏中我们可以查看数据包的每一个字段,一般从上至下每行分别为物理层、数据链路层、IP层、运输层、应用层协议的字段。
在这里插入图片描述
点开每层协议可以看到数据包中的具体字段,以下面的tcp包为例:
在这里插入图片描述

二、使用python库进行流量特征提取

1.下载scapy库

打开cmd输入命令pip install scapy即可。
在这里插入图片描述

由于代码中需要用到datetime库读取抓取时间,故用同样方法下载datetime库
在这里插入图片描述

2.scapy库的使用

【注意:scapy模块必须使用 from scapy.all import * 才能正确调用。】
①读出文件流量包中的全部数据:

#引入库
from scapy.all import rdpcap
#调用库函数读取数据
packets = rdpcap('Normal flow package.pcapng')
#数据输出(.mysummary让数据易读)
for data in packets:
    print(data.mysummary)

因为数据过多运行结果不再全部展示,此处截取前三条,可以发现:每条记录都是由数据链路层协议(Ether)、网络层协议(IP)、运输层协议(如UDP)、网络层数据组成。
在这里插入图片描述
②读pcap中的某个包。当scapy读入pcap文件时,实则是读入一个列表。因为pcap文件中包含了很多个数据包,所以读进来的packets代表所有pcap包中包含的数据,而packets[i]表示在pcap中的第i条数据。
③读每条数据包的具体格式,可通过show()函数进行结构的展示。
④提取每条数据包中具体网络属性的值,利用如下代码即可访问。

pkts[ i ] [ 对应的协议].属性名称

例如以下代码:

#引入库
from scapy.all import rdpcap
#调用库函数读取数据
a = rdpcap('Normal flow package.pcapng')
#显示第一条记录的数据包结构 
a[0].show()
#输出第一条记录的ip层arp协议的hwtype字段
print("a[0]['ARP'].hwtype=",a[0]['ARP'].hwtype)

运行结果如下:
在这里插入图片描述

3.csv库的使用(数据写入.csv文件)

①CSV即逗号分隔值(Comma-Separated Values),有时也称为字符分隔值,因为分隔字符也可以不是逗号,其文件以纯文本形式存储表格数据(数字和文本)。纯文本意味着该文件是一个字符序列,不含必须像二进制数字那样被解读的数据。
②CSV文件由任意数目的记录组成,记录间以某种换行符分隔;每条记录由字段组成,字段间的分隔符是其它字符或字符串,最常见的是逗号或制表符。通常,所有记录都有完全相同的字段序列。通常都是纯文本文件。建议使用WORDPAD或是记事本来开启,再则先另存新档后用EXCEL开启,也是方法之一。
③CSV文件的写入和读取均可用字典或列表的形式,具体要看数据在python文件中的保存形式,以下例子中假设data1为列表的列表,data2为字典的列表。
(1)列表写入:

#表头(列表)
head1 = ["姓名","年龄","分数"]
#数据(列表的列表,列表的一个元素是一行)
data1 =[["李四",23,90],
       ["刘二麻子",13,20]]
#创建写入器对象
with open("text.csv","w",encoding="utf-8") as f:
	#调用csv库
	writer = csv.writer(f)
	#写入标题,写入单行用writerow()
	writer.writerow(head1)
	#写入数据,写入多行用writerows()
	writer.writerows(data1)

(2)字典写入:

#表头和数据
head2 = ["姓名", "年龄", "分数"]
data2 =[{
   "姓名":"李四","年龄":23,"分数":90},
        {
   "姓名":"王五","年龄":19,"分数":100},
        {
   "姓名":"刘二麻子","年龄":13,"分数":20}]
#创建写入器对象
with open("text2.csv","w",encoding
最低0.47元/天 解锁文章
Python机器学习实战:采用机器学习技术对网络流量进行分析
AI天才研究院
06-11 725
1. 背景介绍 随着互联网的普及和发展,网络安全问题越来越受到人们的关注。网络攻击手段层出不穷,网络安全防护也变得越来越复杂。传统的安全防护手段已经无法满足现代网络安全的需求,因此,机器学习技术在网络安全领域的应用越来越受到关注。 机器学习技术可以通过对网络流量的分析,识别出网络攻击行为,从而提高网络安全防护的效果。Python作为一种
基于深度学习的入侵检测系统设计与实现
AI天才研究院
08-06 3552
基于深度学习的入侵检测系统在提高检测精度和效率方面展现出了巨大的潜力,然而,它仍然面临着一些挑战,例如数据标准化、模型解释性、攻击的多样性等。未来,我们需要在这些方面进行更深入的研究,并开发出更强大的入侵检测系统
基于python机器学习DDoS入侵检测算法
10-03
【作品名称】:基于python机器学习DDoS入侵检测算法 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 基础知识: 攻击类型: SYN-Flood 攻击:利用TCP三次握手的缺陷,在完成第二次握手后,不再进行下一次握手,使服务端处于忙等的状态,并占满缓存区。 Smurf ping 放大攻击、DNS放大攻击:发送源地址为被害主机的请求,中间节点收到后,会向被害主机进行相应,从而沾满带宽。 畸形报文攻击攻击方向被害主机发送畸形的报文,如源地址与目的地址一致或分片重叠等,导致服务器不知如何处理而导致崩溃。 Slowloris慢速攻击:缓慢的发送多个请求头信息,达到最大连接数 检测系统主要分为四个模块类似于下图。首先是流量捕获模块,使用scapy库获取每个发送到服务器指定端口的数据包P,并进行缓存。 【资源声明】:本资源作为“参考资料”而不是“定制需求”,代码只能作为参考,不能完全复制照搬。需要有一定的基础能够看懂代码,能够自行调试代码并解决报错,能够自行添加功能修改代码。
基于机器学习DDos攻击检测
zxxmx的博客
04-02 1万+
2基于的DDoS攻击检测方法 环境:pycharm+python3.4 2.1数据分析与特征工程 2.1.1数据来源 kaggle 2.1.2数据大小 训练集:80万条 测试集:30万条 2.1.3 数据概况 读取数据后打印数据,可以发现训练集为809361行、 78列的数据。我打印出各列数据的合计、均值、方差,发现列名为Fwd_PSH_Flags 、Bwd_PSH_Flags、Fwd_URG_...
基于机器学习DDoS攻击检测系统
最新发布
laoman456的博客
02-23 1311
本项目开发的基于机器学习DDoS攻击检测系统能够有效识别并应对各种DDoS攻击,通过实时流量监测和智能检测模型提升网络安全性。未来,随着攻击手段的不断演化,系统可以通过持续的模型训练和优化,不断适应新的攻击模式,保持其高效性和准确性。具体实现:下面是一个简单的基于机器学习DDoS攻击检测系统的代码实现。我们将使用Python和。
python ddos_python 检查是否存在ddos攻击
weixin_36484898的博客
02-09 494
!/usr/bin/pythoncoding=utf-8import dpktimport socketimport optparse默认设置检测不正常数据包的数量的阈值为1000THRESH = 1000def findDownload(pcap):for (ts, buf) in pcap:try:eth = dpkt.ethernet.Ethernet(buf)ip = eth.datasr...
python ddos 检测系统_python 检查是否存在ddos攻击
weixin_39554891的博客
12-06 259
!/usr/bin/pythoncoding=utf-8import dpktimport socketimport optparse默认设置检测不正常数据包的数量的阈值为1000THRESH = 1000def findDownload(pcap):for (ts, buf) in pcap:try:eth = dpkt.ethernet.Ethernet(buf)ip = eth.datasr...
pythonddos监控机素描_四种捕获DDoS攻击的监测工具(含报告)
weixin_39856709的博客
12-06 312
现在有很多防御或缓解DDoS攻击的服务,但是如何第一时间发现网站被D仍然是个难题。这里我们罗列四个帮助识别DDoS攻击的监测工具和方法。工具一:内部服务器、网络和基础设施监控‍‍公司有很多监控软件和应用程序可以选择,但是最受欢迎的非Nagios莫属。它能够帮助你监控内部基础设施与应用程序、服务器、操作系统、网络协议系统度量和网络基础设施等在内的全部内容。‍‍举个例子,监控软件通过检查HTTP服务...
巧妙使用机器学习的方法来检测IOT设备中的DDOS攻击
Candour_0的博客
02-18 683
巧妙使用机器学习的方法来检测IOT设备中的DDOS攻击
机器学习(预测模型):多种DDoS攻击和良性流量的网络流量数据
01-17
该数据集于2025年1月15日发布,主要目的是评估...这些数据集为研究人员提供了丰富的资源,可用于训练和测试机器学习模型,分析流量模式,探索基于SDN的安全和异常检测技术等,推动DDoS攻击检测和缓解策略的研究与发展。
2024年Python最新python网络渗透之:DOS攻击篇_ddos攻击脚本(1)
2401_84584854的博客
05-01 863
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
Maltrail 一个恶意流量检测系统-python
06-18
Malicious traffic detection system 内容 介绍 架构 快速入门 管理员指南 Sensor Server 用户指南 报告界面 真实案例 海量扫描 匿名攻击者 服务攻击者 恶意软件 可疑域名查找 可疑ipinfo请求 可疑直接文件下载 可疑HTTP请求 端口扫描 DNS资源耗尽 数据泄露 误报 要求 最佳实践( s) License Developers Presentations Blacklist 谢谢第三方集成 介绍 Maltrail 是一个恶意流量检测系统,利用包含恶意和/或一般可疑路径的公开(黑)名单,以及从各种 AV 报告和自定义用户定义的静态路径编译列表,其中 trail 可以是域名(例如用于 Banjori 恶意软件的 zvpprsensinaix.com)、URL(例如用于已知恶意可执行文件的 hXXp://109.162.38.120/harsh02.exe)、IP 地址(例如用于已知攻击者的 185.130.5.231) ) 或 HTTP User-Agent 标头值(例如用于自动 SQL 的 sqlmap 注入和数据库接管工具)。
恶意流量检测系统-Python开发
05-25
恶意流量检测系统内容简介体系结构快速入门管理员指南传感器服务器用户指南报告界面真实案例大规模扫描匿名攻击者服务攻击者恶意软件可疑域查找可疑ipinfo请求可疑直接文件下载可疑HTTP请求端口扫描DNS资源耗尽数据泄漏误报要求最佳实践许可证开发人员介绍黑名单谢谢第三方集成简介Maltrail
在软件定义网络中使用机器学习的方法进行 DDOS 攻击检测与缓解--实验
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
12-09 3223
在软件定义网络中使用机器学习的方法进行 DDOS 攻击检测与缓解--实验
Python检测和防御DOS攻击
qq_45616828的博客
11-10 3331
P80
Python+Celery实现基于Fastnetmon异常流量清洗
yanggd1987的专栏
03-12 4782
背景 FastNetMon+Influxdb+Grafana+GoBGP可搭建一套基于 NetFLOW / sFLOW 的流量统计报告系统,其中: FastNetMon 是一个基于多种抓包引擎(NetFlow, IPFIX, sFLOW, netmap, PF_RING, PCAP)的DoS/DDoS攻击高效分析工具,可以探测和分析网络中的异常流量情况,同时可以通过外部脚本通知或阻断攻击; InfluxDB 是一款开源开源时序型数据库,和FastNetMon集成,用于将数据统计进行存储; Grafana
python3+pyshark读取wireshark数据包并追踪telnet数据流
weixin_34149796的博客
07-10 2624
一、程序说明 本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现。pyshark是tshark的一个python封装,至于tshark可以认为是命令行版的wireshark,随wireshark一起安装。 第二个要点是追踪流,追踪流在wireshark中是“tcp.stream eq 70”之类的形式,但是70这类值暂是不...
python实现wireshark的follow tcp stream功能
热门推荐
crylearner的专栏
08-20 1万+
长话短说,wireshark有一个follow tcp stream功能,这个功能很方便。美中不足的是提取出的stream 数据没有时间戳等其他信息,在分析数据的延时和丢包问题时就有些力不从心了。这里简单用python实现了一个简单follow tcp stream功能,同时保留了tcp信息。 原理很简单,仍然是基于wireshark,里面有一个Export packet dissect
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值