通过 搜集 Linux 服务器 的 bash 操作 日志, 通过 训练 识别 出 特定 用户 的 操作 习惯, 然后 进一步 识别 出 异常 操作 行为。

使用 SEA 数据 集 涵盖 70 多个 UNIX 系统 用户 的 行为 日志, 这些 数据 来自 UNIX 系统 acct 机制 记录 的 用户 使用 的 命令。 SEA 数据 集中 每个 用户 都 采集 了 15000 条 命令, 从 用户 集合 中 随机 抽取 50 个 用户 作为 正常 用户, 剩余 用户 的 命令 块 中 随机 插入 模拟 命令 作为 内部 伪装 者 攻击 数据。其中 训练 集合 大小 为 80, 测试 集合 大小 为 70。

数据集示意:

cpp

sh

xrdb

cpp

sh

xrdb

mkpts

test

stty

hostname

date

echo

[

find

chmod

tty

echo

env

echo

sh

userenv

wait4wm

xhost

xsetroot

reaper

xmodmap

sh

[

cat

stty

hostname

date

echo

[

find

chmod

tty

echo

sh

more

sh

more

sh

more

sh

more

sh

more

sh

more

sh

more

sh

more

sh

more

sh

more

sh

more

sh

launchef

launchef

sh

9term

sh

launchef

sh

launchef

hostname

[

cat

stty

hostname

date

echo

[

find

chmod

tty

echo

sh

more

sh

more

sh

ex

sendmail

sendmail

sh

MediaMai

sendmail

sh

rm

MediaMai

sh

rm

MediaMai

launchef

launchef

sh

sh

more

sh

sh

rm

MediaMai

netstat

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

netscape

sh

netscape

more

sh

rm

sh

MediaMai

=

telnet

tput

netscape

netscape

netscape

netscape

netscape

# -*- coding:utf-8 -*-

import sys

import re

import numpy as np

import nltk

import csv

import matplotlib.pyplot as plt

from nltk.probability import FreqDist

from sklearn.feature_extraction.text import CountVectorizer

from sklearn import cross_validation

from tflearn.data_utils import to_categorical, pad_sequences

from tflearn.datasets import imdb

import tflearn

#测试样本数

N=80

def load_user_cmd_new(filename):

    cmd_list=[]

    dist=[]

    with open(filename) as f:

        i=0

        x=[]

        for line in f:

            line=line.strip('\n')

            x.append(line)

            dist.append(line)

            i+=1

            if i == 100:

                cmd_list.append(x)

                x=[]

                i=0

    fdist = FreqDist(dist).keys()

    return cmd_list,fdist

def load_user_cmd(filename):

    cmd_list=[]

    dist_max=[]

    dist_min=[]

    dist=[]

    with open(filename) as f:

        i=0

        x=[]

        for line in f:

            line=line.strip('\n')

            x.append(line)

            dist.append(line)

            i+=1

            if i == 100:

                cmd_list.append(x)

                x=[]

                i=0

    fdist = FreqDist(dist).keys()

    dist_max=set(fdist[0:50])

    dist_min = set(fdist[-50:])

    return cmd_list,dist_max,dist_min

def get_user_cmd_feature(user_cmd_list,dist_max,dist_min):

    user_cmd_feature=[]

    for cmd_block in user_cmd_list:

        f1=len(set(cmd_block))

        fdist = FreqDist(cmd_block).keys()

        f2=fdist[0:10]

        f3=fdist[-10:]

        f2 = len(set(f2) & set(dist_max))

        f3=len(set(f3)&set(dist_min))

        x=[f1,f2,f3]

        user_cmd_feature.append(x)

    return user_cmd_feature

def get_user_cmd_feature_new(user_cmd_list,dist):

    user_cmd_feature=[]

    for cmd_list in user_cmd_list:

        x=[]

        for cmd in  cmd_list:

            v = [0] * len(dist)

            for i in range(0, len(dist)):

                if cmd == dist[i]:

                    v[i] = 1

            x.append(v)

        user_cmd_feature.append(x)

    return user_cmd_feature

def get_label(filename,index=0):

    x=[]

    with open(filename) as f:

        for line in f:

            line=line.strip('\n')

            x.append( int(line.split()[index]))

    return x

def do_knn(x_train,y_train,x_test,y_test):

    neigh = KNeighborsClassifier(n_neighbors=3)

    neigh.fit(x_train, y_train)

    y_predict=neigh.predict(x_test)

    score = np.mean(y_test == y_predict) * 100

    print  score

def do_rnn(x_train,x_test,y_train,y_test):

    global n_words

    # Data preprocessing

    # Sequence padding

    print "GET n_words embedding %d" % n_words

    #x_train = pad_sequences(x_train, maxlen=100, value=0.)

    #x_test = pad_sequences(x_test, maxlen=100, value=0.)

    # Converting labels to binary vectors

    y_train = to_categorical(y_train, nb_classes=2)

    y_test = to_categorical(y_test, nb_classes=2)

    # Network building

    net = tflearn.input_data(shape=[None, 100,n_words])

    net = tflearn.lstm(net, 10,  return_seq=True)

    net = tflearn.lstm(net, 10, )

    net = tflearn.fully_connected(net, 2, activation='softmax')

    net = tflearn.regression(net, optimizer='adam', learning_rate=0.1,name="output",

                             loss='categorical_crossentropy')

    # Training

    model = tflearn.DNN(net, tensorboard_verbose=3)

    model.fit(x_train, y_train, validation_set=(x_test, y_test), show_metric=True,

             batch_size=32,run_id="maidou")

if __name__ == '__main__':

    user_cmd_list,dist=load_user_cmd_new("../data/MasqueradeDat/User7")

    #print  "Dist:(%s)" % dist

    n_words=len(dist)

    user_cmd_feature=get_user_cmd_feature_new(user_cmd_list,dist)

    labels=get_label("../data/MasqueradeDat/label.txt",6)

    y=[0]*50+labels

    x_train=user_cmd_feature[0:N]

    y_train=y[0:N]

    x_test=user_cmd_feature[N:150]

    y_test=y[N:150]

    #print x_train

    do_rnn(x_train,x_test,y_train,y_test)

效果:

Training Step: 30  | total loss: 0.10088 | time: 1.185s
| Adam | epoch: 010 | loss: 0.10088 - acc: 0.9591 | val_loss: 0.18730 - val_acc: 0.9571 -- iter: 80/80
--

检测用户命令序列异常——使用LSTM分类算法【使用朴素贝叶斯,类似垃圾邮件分类的做法也可以,将命令序列看成是垃圾邮件】的更多相关文章

  1. [分类算法] :朴素贝叶斯 NaiveBayes

    1. 原理和理论基础(参考) 2. Spark代码实例: 1)windows 单机 import org.apache.spark.mllib.classification.NaiveBayes im ...

  2. 【分类算法】朴素贝叶斯(Naive Bayes)

    0 - 算法 给定如下数据集 $$T=\{(x_1,y_1),(x_2,y_2),\cdots,(x_N,y_N)\},$$ 假设$X$有$J$维特征,且各维特征是独立分布的,$Y$有$K$种取值.则 ...

  3. tf-idf、朴素贝叶斯的短文本分类简述

    朴素贝叶斯分类器(Naïve Bayes classifier)是一种相当简单常见但是又相当有效的分类算法,在监督学习领域有着很重要的应用.朴素贝叶斯是建立在“全概率公式”的基础下的,由已知的尽可能多 ...

  4. python实现随机森林、逻辑回归和朴素贝叶斯的新闻文本分类

    实现本文的文本数据可以在THUCTC下载也可以自己手动爬虫生成, 本文主要参考:https://blog.csdn.net/hao5335156/article/details/82716923 nb ...

  5. 手写朴素贝叶斯(naive_bayes)分类算法

    朴素贝叶斯假设各属性间相互独立,直接从已有样本中计算各种概率,以贝叶斯方程推导出预测样本的分类. 为了处理预测时样本的(类别,属性值)对未在训练样本出现,从而导致概率为0的情况,使用拉普拉斯修正(假设 ...

  6. 机器学习实战之朴素贝叶斯进行文档分类(Python 代码版)

    贝叶斯是搞概率论的.学术圈上有个贝叶斯学派.看起来吊吊的.关于贝叶斯是个啥网上有很多资料.想必读者基本都明了.我这里只简单概括下:贝叶斯分类其实就是基于先验概率的基础上的一种分类法,核心公式就是条件概 ...

  7. <Machine Learning in Action >之二 朴素贝叶斯 C#实现文章分类

    def trainNB0(trainMatrix,trainCategory): numTrainDocs = len(trainMatrix) numWords = len(trainMatrix[ ...

  8. [机器学习] 分类 --- Naive Bayes(朴素贝叶斯)

    Naive Bayes-朴素贝叶斯 Bayes' theorem(贝叶斯法则) 在概率论和统计学中,Bayes' theorem(贝叶斯法则)根据事件的先验知识描述事件的概率.贝叶斯法则表达式如下所示 ...

  9. AI学习---分类算法[K-近邻 + 朴素贝叶斯 + 决策树 + 随机森林 ]

    分类算法:对目标值进行分类的算法    1.sklearn转换器(特征工程)和预估器(机器学习)    2.KNN算法(根据邻居确定类别 + 欧氏距离 + k的确定),时间复杂度高,适合小数据    ...

  10. 机器学习Matlab打击垃圾邮件的分类————朴素贝叶斯模型

    该系列来自于我<人工智能>课程回顾总结,以及实验的一部分进行了总结学习机 垃圾分类是有监督的学习分类最经典的案例,本文首先回顾了概率论的基本知识.则以及朴素贝叶斯模型的思想.最后给出了垃圾 ...

随机推荐

  1. Maven Web项目解决跨域问题

    跨域问题目前笔者所用到的方案大致有三种:jsonp,SpringMVC 4以上注解方式和cros三方过滤器. Jsonp JSONP(JSON with Padding)是一个非官方的协议,它允许在服 ...

  2. 项目Alpha冲刺--1/10

    项目Alpha冲刺--1/10 1.团队信息 团队名称:基于云的胜利冲锋队 成员信息 队员学号 队员姓名 个人博客地址 备注 221500201 孙文慈 https://www.cnblogs.com ...

  3. .net unicode汉字互相转换

    [两种方法].net unicode汉字互相转换 ========================================= //汉字转Unicode编码(ASCII) private str ...

  4. python模块(4)

    re正则 re.match 从头开始匹配 re.search 匹配包含 re.findall 把所有匹配到的字符放到以列表中的元素返回(没有group()方法) re.splitall 以匹配到的字符 ...

  5. IntelliJ IDEA平台下JNI编程(五)—本地C代码创建Java对象及引用

    本文学习如何在C代码中创建Java对象和对象数组,前面我们学习了C代码中访问Java对象的属性和方法,其实在创建对象时本质上也就是调用构造函数,因此本文知识学习起来也很轻松.有了前面学习数组创建的方法 ...

  6. Mac批量转换mp3为caf

    创建一个sh文件,输入如下代码后运行. 遍历文件夹中的mp3然后使用afconvert命令进行转换. #!/bin/bash for i in *.mp3; do afconvert $i " ...

  7. 在dos输入pybot显示不是内部命令,或者显示chromedriver.exe要加入到path中?

    在dos输入pybot显示不是内部命令,或者显示chromedriver.exe要加入到path中? 一直使用robot framework编写脚本,结果有一天输入 pybot XXXX.robot ...

  8. Oracle:如何创建一个只有查看权限的用户

    因为工作中测试环境和开发环境是分开的,所以开发有时处理bug时需要连接测试数据库,这样出现一个问题是有些开发会为了验证某些问题任意改动数据库的表和字段,对测试库造成污染.为了能够让开发连接测试环境,同 ...

  9. [jQuery] 通过ajax保存到服务器,成功显示信息.

    保存数据到服务器,成功时显示信息. jQuery 代码: $.ajax({ type: "POST", url: "some.php", data: " ...

  10. HeadFirst Ruby 第十四章总结 Web apps: Serving HTML

    前言 这一章节主要讲了如何利用 Ruby 中的 Sinatra 这个 gem 来创建一个 Web app 的具体流程,其中的要点包括了: Sinatra, a third party library ...