实训二、基于K邻近算法检测Rootkit

最新推荐文章于 2025-08-19 14:43:05 发布
原创 最新推荐文章于 2025-08-19 14:43:05 发布 · 787 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#算法 #机器学习 #python

1、实训要求

(1)熟悉Rootkit数据集,此数据集是一种特殊的恶意软件。

(2)掌握使用k邻近算法检测Rootkit的流程和具体步骤。

(3)学会尝试使用k邻近算法识别基于telnet链接的Rootkit行为。

(4)学会对k邻近算法检测Rootkit的实验结果进行分析。

2、KNN算法检测Rootkit

2.1 实验任务

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件,进程和网络链接等信息,比较常见的是Rootkit,一般都和木马,后门等其他恶意程序结合使用。基于KDD 99数据集的样本数据,尝试使用KNN算法识别基于telnet连接的Rootkit行为,检测流程如下所示。

2.2 实验数据集

NSL-KDD数据集是网络安全领域相对权威的入侵检测数据集,是KDD 99数据集的改进版本。NSL-KDD数据集的训练集和测试集中不包含冗余记录,使检测更加准确。NSL-KDD作为一种有效的入侵检测基准数据集,可以帮助研究人员比较不同的入侵检测方法。

KDD99官方地址:KDD Cup 1999 Data

提取协议类型为telnet同时攻击类别为Normal或Rootkit的所有记录构造数据集。

NSL-KDD官方地址:NSL-KDD | Datasets | Research | Canadian Institute for Cybersecurity | UNB。本实验用到的文件包括KDDTrain+_20Percent.txt和KDDTest+.txt,如下图所示:

NSL-KDD包含正常流量和四种类别攻击流量,其中rootkit攻击在大类攻击U2R类中,入戏图所示。

为了实现构建本实验的训练数据集和测试数据集,分别从KDDTrain+_20Percent.txt和KDDTest+.txt数据集中分别提出rootkit攻击记录和normal正常流量记录。

2.3 特征工程

2.3.1 特征选择与提取

1、导入Corrected数据集

2、筛选标记为Rootkit和normal且是telnet协议的数据

3、导入kddcup.data_10_percent_corrected数据集

2.3.2 特征归一化

划分数据集

特征归一化

2.4 构建Rootkit攻击检测模型

对测试集进行KNN训练

2.5 对模型进行评估

2.6 实验结果分析

1、划分数据集结果:

2、模型训练结果:

3、算法的比较结果:

通过交叉验证得到准确率:

2.7 总结

本次实验采用KDD99数据集,用KNN算法识别基于telnet连接的Rootkit行为,KDD99数据集是一个用来从正常连接中监测非正常连接的数据集。产出于1999年Thrid International Knowlegde Discovery and Data Mining Tools Competition,其目的是建立一个稳定的的入侵检测系统。而Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件,进程和网络链接等信息,比较常见的是Rootkit,一般都和木马,后门等其他恶意程序结合使用。

通过本次实验我掌握使用k邻近算法检测Rootkit的流程和具体步骤,先对KDD99的41维特征筛选出标记为rootkit和normal,并且是telnet协议的特征,在进行向量化,折交叉验证,最后评估其效果。同时我还学会了尝试使用k邻近算法识别基于telnet链接的Rootkit行为。学会了对k邻近算法检测Rootkit的实验结果进行分析。

总的来说,KNN算法可以作为一种有效的方法来检测Rootkit。然而,需要注意的是,算法的性能很大程度上取决于数据的质量和特征的选择。因此,在实际应用中,我们需要不断改进算法,并与其他方法进行比较,以获得更好的检测效果。

Graph Mining for Cybersecurity: A Survey——网络安全图挖掘:一项调查——全文翻译
qq_46063079的博客
06-03 1600
Graph Mining for Cybersecurity: A Survey网络安全图形挖掘:一项调查
六、CISSP 官方学习指南(OSG)第 7 版术语对照表
网络安全领域优质创作者
11-09 5375
8.1 数字和符号 8.1.1 *(星)完整性公理: (*公理) Biba 模型的公理,规定在特定分类级别上的主体不能向较高分类级别写入数据。这通常会被缩略为"不能向上写"。 8.1.2 *(星)安全属性: (*属性) Bel1-LaPadula 模型的属性,规定在特定分类级别上的主体不能向较低分类级别写入数据。这通常会被缩略为"不能向下写"。 8.1.3 802.11i(WPA-2) 对 802.11 标准的修正,定义了新的身份认证以及类似于 IPSec 的加密技术。迄今为止, 还不存在能够危害已正确配置
Digital Twin 数字孪生 工业4.0 SCADA 物联网
热门推荐
hongpu的博客
12-22 1万+
Digital Twin    数字孪生         是充分利用物理模型、传感器更新、运行历史等数据,集成多学科、多物理量、多尺度、多概率的仿真过程,在虚拟空间中完成映射,从而反映相对应的实体装备的全生命周期过程。         数字孪生,仅仅是说明数字产品与物理产品它们之间长得非常像而已。不使用“体”这个词,主要是为了强调,数字虚拟体和物理实体之间,是有着本质的差别的。因此数字双胞胎,...
使用K近邻算法检测Rootkit、WebShell
MrLeaper 的博客
02-08 1251
使用K近邻算法检测Rootkit基于telnet连接的rootkit检测流程:KDD 99 数据(41维特征)->筛选与rootkit相关特征->基于tcp内容的特征->向量化->与rootkit相关的特征向量->KNN算法+10折交叉验证->评估效果1、数据搜集和清洗这里用的是KDD 99数据集,筛选标记为rootkit和normal且是telnet协议的数据...
学习笔记(三):使用K近邻算法检测Rootkit
盐可
10-14 724
      Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身以及指定的文件,进程和网络链接等信息。 1.数据搜集        KDD 99 TCP连接内容特征包括hot ,num_faild_logins ,logged_in ,num_compromised ,root_shell ,su_attempted ,num_root ,num_file_creations ,...
K近邻算法检测异常操作及病毒
qq_42646885的博客
08-11 1746
1、简介 K邻近算法(K-Nearest Neighbor,KNN),就是K个最近的邻居的意思,就是说每个样本都可以用它最接近的K个邻居来代表。 KNN算法的核心是,如果一个样本在特征空间中的K个最相邻的样本中的大多数属于某一个类别,则该样本也属于这个类别,并具有这个类别上样本的特性。 KNN常用的算法:Brute Force、K-D Tree、Ball Tree. 2、一个简单示例 用...
Linux下基于可执行路径分析的内核rootkit检测技术研究.pdf
09-07
【Linux下基于可执行路径分析的内核rootkit检测技术研究】 在计算机安全领域,rootkit是一种极具威胁的恶意软件,它能够隐藏攻击者的踪迹,维持对系统的非法访问,并可能进行密码盗窃或其他恶意活动。当系统被...
机试备考笔记 14/31
m0_73354184的博客
08-17 1225
2025年8月14日小结:(17号整理14号的笔记,这辈子真是有了w(゚Д゚)w)昨天摔了跤大的,今天好妈妈在家,松弛。省流:6道中等,明天只学了10分钟嘻嘻。
【冒泡排序】
最新发布
由己
08-19 634
冒泡排序
C++面试中的手写快速排序:从基础到最优的完整思考过程
码事漫谈
08-18 588
手写快速排序的面试过程,实际上是考察候选人从"能工作"到"优秀"的思维演进能力。从基础实现出发,保证正确性逐步加入优化,展示深度思考主动分析复杂度,体现计算机科学基础讨论工程实践,展现实际经验引导技术对话,掌握面试节奏记住:面试官关心的不是你能否背出算法,而是你解决问题的思路和持续优化的能力。通过这样结构化的应对策略,你就能在排序算法面试中脱颖而出。
算法导论》第 27 章 - 多线程算法
2302_80961196的博客
08-17 855
本文介绍了《算法导论》第27章的多线程算法内容,包括动态多线程基础、多线程矩阵乘法和多线程归并排序。通过C++实现代码,详细讲解了这三个经典算法的并行化设计思路和实现方法。文章首先阐述了动态多线程模型中的工作量、持续时间和并行度等核心概念,然后分别给出了并行求和、分块矩阵乘法和并行归并排序的具体实现,并分析了各算法的性能优化要点。最后提出了关于并行度分析、阈值优化、负载均衡等问题的思考题,帮助读者深入理解多线程算法的设计要点。文章为开发高性能并行程序提供了实用的理论基础和代码参考。
【秋招笔试】2025.08.09网易秋招机考
春秋招笔试突围
08-18 44
难度:简单这道题目是一个经典的模拟题,核心在于理解"先到先得"的分配规则。通过维护每个社团的剩余名额,按照学生提交的志愿顺序进行贪心分配,可以得到 O(n) 的高效解法。难度:中等这道题目巧妙地将组合优化问题转化为滑动窗口问题。关键观察是最优解必然对应排序后数组中的某个连续区间,通过双指针技术可以在 O(nm log(nm)) 时间内求解。难度:中等偏难这道题目结合了图论最短路和状态枚举。虽然看似复杂,但 k≤5 的限制使得 k! 种枚举成为可能。通过精确的状态模拟和路径规划,可以找到最优的收集策略。难度:
LeetCode 3467.将数组按照奇偶性转化
tus00000的博客
08-16 264
将偶数(4 和 2)替换为 0,将奇数(1, 5 和 1)替换为 1。现在,nums = [1, 1, 1, 0, 0]。现在,nums = [0, 1, 0, 1]。按非递减顺序排序 nums,得到 nums = [0, 0, 1, 1, 1]。按非递减顺序排序 nums,得到 nums = [0, 0, 1, 1]。输入:nums = [1,5,1,4,2]输入:nums = [4,3,2,1]输出:[0,0,1,1,1]输出:[0,0,1,1]将每个偶数替换为 0。将每个奇数替换为 1。
算法专题训练】13、回文字符串
Tim_10的博客
08-15 409
本文介绍了回文字符串的概念及三类相关算法题解。回文串是指正读反读都相同的字符串,判断时忽略大小写和非字母数字字符。第一类题目LCR 018通过双指针法验证回文串;第类LCR 019在允许删除一个字符的条件下判断是否可形成回文;第三类LCR 020则统计所有回文子串数量,提供了暴力解法和中心扩展两种方法。核心解法都运用双指针技术,通过从两端向中间或从中间向两端遍历来验证回文特性,并利用isalnum()等函数处理字符验证。这三类问题展示了回文串判断的不同应用场景和解法优化思路。
蓝桥杯算法之搜索章 - 7
qiuyunoqy的博客
08-18 637
通过前面内容的学习,大家肯定已经对于BFS有了一定理解,但是在某些题目中,我们前面学习的BFS却不能很好的解决我们的问题。大家可以想象一下:你从迷宫中心的起点出发,不是孤身一人,而是召集了所有出口的“斥候”同时起跑,他们沿着每一条岔路疾驰,彼此提醒“这条路我已走过下一秒,最短的欢呼声从终点传来——这就是多源 BFS的魔法。它让“单点扩散”瞬间升级为“万箭齐发”,把最短路问题从“找一条路”变成“听最早响起的回声”。读完这篇博客,你会明白如何让算法像闪电一样,从四面八方向答案合围!
C++ 优选算法 力扣 1004. 最大连续1的个数 II 滑动窗口 (同向双指针)优化 每日一题 详细题解
Q741_147的博客
08-15 1053
本文解析 LeetCode 1004 题 “最大连续 1 的个数 III”,聚焦滑动窗口算法的应用。先分析暴力解法的 O (n²) 复杂度缺陷,引出滑动窗口优化思路:用双指针维护连续区间,通过右指针扩张窗口、左指针收缩窗口,确保区间内 0 的数量不超过 k,动态更新最大长度。 文中对比滑动窗口与双指针的异同,指出前者是后者的特殊形式,适用于连续区间问题。还拆解代码实现,强调窗口收缩用 while 循环、及时更新最大长度等要点,最后总结适用场景及举一反三的同类问题,帮助读者掌握带约束的连续区间求解技巧。
最优化:建模、算法与理论|01 基础介绍
2301_81197800的博客
08-15 510
最优化问题一般描述为:min⁡f(x)\min f(\boldsymbol{x})minf(x)s.t.x∈χ\text{s.t.}\quad \boldsymbol{x}\in \chis.t.x∈χ 其中,x=(x1,x2,⋯ ,xn)T∈Rn\boldsymbol{x}=(x_1,x_2,\cdots ,x_n)^{T}\in \mathbb{R}^nx=(x1​,x2​,⋯,xn​)T∈Rn是决策变量,$f:\mathbb{R}^n\to \mathbb{R} 是目标函数,是目标函数,是目标函数,\
算法(模板)
2301_79575831的博客
08-15 1811
这里不会严格用数学方式去证明,那样太花时间了,感兴趣的话网上搜搜,我们直接给出结论,当right + left 结果为偶数时,mid1 与 mid2 是没有区别的,但结果为奇数时就会相差1,不要小看了这一点区别,不注意这里,就很有可能写出死循环,具体我们在下面例题里体现。这里只列举了向下取整,避免死循环情况。举个例子: right = 3,left = 4,(right + left)/2 = 3,(right + left + 1)/2 = 4;(right + left + 1)/2 :向上取整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值