2. 程式人生 > >學習筆記(十):使用支援向量機區分僵屍網路DGA家族

學習筆記(十):使用支援向量機區分僵屍網路DGA家族

阿新 發佈:2018-11-10

1.資料蒐集和資料清洗

      ·1000個cryptolocker域名

      ·1000個post-tovar-goz域名

      ·alexa前1000域名

       從DGA檔案中提取域名資料:

def load_dga(filename):
    domain_list = []
    with open(filename) as f:
        for line in f:
            domain = line.split(",")[0]
            if domain >= MIN_LEN:
                domain_list.append(domain)
    return domain_list

     alexa檔案使用CSV格式儲存域名的排名以及域名,提取方式:

def load_alexa(filename):
    domain_list=[]
    csv_reader = csv_reader(open(filename))
    for row in csv_reader:
        domain = row[1]
        if domain >= MIN_LEN:
            domain_list.append(domain)
    return domain_list

2.特徵化

     1)母音字母個數

           正常人在取域名的時候,通常會偏向取”好讀“的幾個字母組合,這使英文的母音字母比例會比較高。DGA生成域名的時候是隨機的,所以母音字母這方面的特徵不明顯,我們可以通過這個差異來驗證我們的想法。

        讀取alexa域名資料:

x1_domain_list =  load_alexa("...")

       計算母音字母的比例:

def get_aeiou(domain_list):
    x=[]
    y=[]
    for domain in domain_list:
        x.append(len(domain))
        count = len(re.findall(r'[aeiou]',domain.lower()))
        count = (0.0+count)/len(domain)
    return x,y

        分別獲取兩個僵屍網路DGA域名以及alexa域名資料,並計算母音字母比例:

x1_domain_list = load_alexa("...")
x_1,y_1 = get_aeiou(x1_domain_list)
x2_domain_list = load_dga("...")
x_2,y_2 = get_aeiou(x2_domain_list)
x3_domain_list = load_dga("...")
x_3,y_3 = get_aeiou(x3_domain_list)

         以域名長度為橫軸,母音字母比例為縱軸作圖:

fig,ax=plt.subplots()
ax.set_xlabel('Domain Lengh')
ax.set_ylabel('AEIOU Score')
ax.scatter(x_3,y_3,color='b',label="dga_post-tovar-goz",marker = 'o')
ax.scatter(x_2,y_2,color='g',label="dga_cryptolock",marker = 'v')
ax.scatter(x_1,y_1,color='r',label="alexa",marker = '*')
ax.legend(loc='best')
plt.show()

    2)去重後字母數字個數與域名長度的比例

        

def get_uniq_char_num(domain_list):
    x=[]
    y=[]
    for domain in domain_list:
        x.append(len(domain))
        count = len(set(domain))
        count = (0.0+count)/len(domain)
        y.append(count)
    return x,y

x1_domain_list = load_alexa("...")
x_1,y_1 = get_uniq_char_num(x1_domain_list)
x2_domain_list = load_dga("...")
x_2,y_2 = get_uniq_char_num(x2_domain_list)
x3_domain_list = load_dga("...")
x_3,y_3 = get_uniq_char_num(x3_domain_list)

    3)平均jarccard係數:定義為兩個集合交集與並集元素個數的比值,本次基於2-gram計算。

def count2string_jarccard_index(a,b):
    x=set(' '+a[0])
    y=set(' '+b[0])
    for i in range(0,len(a)-1):
        x.add(a[i]+a[i+1]0
    x.add(a[len(a)-1]+' ')
    for i in range(0,len(b)-1):
        y.add(b[i]+b[i+1]0
    y.add(b[len(b)-1]+' ')
    return (0.0+len(x-y))/len(x|y)

def get_jarccard_index(a_list,b_list):
    x=[]
    y=[]
    for a in a_list:
        j = 0.0
        for b in b_list:
            j+=count2string_jarccard_index(a,b)
        x.append(len(a))
        y.append(j/len(b_list))
    return x,y

      4)HMM係數

            正常人取域名的時候都會偏向選取常見的幾個單詞組合,抽象成數學可以理解的語言,因此以常見單詞訓練HMM模型,正常域名的HMM係數偏高,僵屍網路DGA域名由於是隨機生成的,所以HMM係數偏低。

3.模型驗證:SVM分類原理同上篇。

相關推薦

學習筆記使用支援向量區分網路DGA家族

1.資料蒐集和資料清洗       ·1000個cryptolocker域名       ·1000個post-tovar-goz域名       ·alexa前1000域名   &n

機器學習筆記支援向量SVM

支援向量機是目前機器學習的眾多演算法中使用得最為廣泛的演算法之一,本文主要介紹支援向量機的概念與原理。 目錄 什麼是支援向量機 硬間隔線性支援向量機 軟間隔線性支援向量機 非線性支援向量機     一、什麼是支援向量機 &nbs

Python3《機器學習實戰》學習筆記支援向量實戰篇之再撕非線性SVM

一 前言 上篇文章講解的是線性SVM的推導過程以及簡化版SMO演算法的程式碼實現。本篇文章將講解SMO演算法的優化方法以及非線性SVM。 二 SMO演算法優化 在幾百個點組成的小規模資料集上,簡化版SMO演算法的執行是沒有什麼問題

支援向量區分網路DGA

僵屍網路一般為了躲避域名黑名單,會使用DGA動態生成域名,通過DGA不同的特徵,可以識別不同的特徵。DGA檔案格式如下:首先從DGA檔案中提取域名資料def load_alexa(filename): domain_list = [] csv_reader =

吳恩達機器學習作業支援向量

目錄 1)資料預處理 2)Scikit-learn支援向量機 3)決策邊界比較 4)非線性SVM 5)最優超引數 6)垃圾郵件過濾器 在本練習中,我們將使用支援向量機(SVM)來構建垃圾郵件分類器。 我們將從一些簡單的2D資料集開始使用SVM來檢視它們的工作原理。

javaweb學習筆記XML

目錄   1 xml入門 2 xml語法 3 xml顯示 4 XML解析方式及工具 5 xml約束 1 xml入門 Extensible Markup Language(可擴充套件標記語言),XML 的設計宗旨是傳輸資料,而不是顯示資料。XML 標籤

機器學習筆記TensorFlow實戰二深層神經網路

1 - 深度學習與深層神經網路 深度學習的精確定義為:“一類通過多層非線性變換對高複雜性資料建模演算法的集合” 因此,多層神經網路有著2個非常重要的特性 多層 非線性 1.1 - 線性模型的侷限性 線上性模型中,模型的輸出為輸入的加權和,假設一

python 學習筆記 資料庫連線池

#!/usr/bin/python # -*- coding: utf-8 -*- from __future__ import print_function import Queue import pymysql import logging LOG =

各種音視訊編解碼學習詳解之 編解碼學習筆記Ogg系列

 最近在研究音視訊編解碼這一塊兒,看到@bitbit大神寫的【各種音視訊編解碼學習詳解】這篇文章,非常感謝,佩服的五體投地。奈何大神這邊文章太長,在這裡我把它分解成很多小的篇幅,方便閱讀。大神部落格傳送門:https://www.cnblogs.com/skyofbitbit/p/3651

TensorFlow學習筆記 CIFAR-10

1. CIFAR-10 Cifar-10 是由 Hinton 的兩個大弟子 Alex Krizhevsky、Ilya Sutskever 收集的一個用於普適物體識別的資料集。Cifar 是加拿大政府牽頭投資的一個先進科學專案研究所。Hinton、Bengio

OpenCV2學習筆記特徵點檢測之Harris法

在計算機視覺中,特徵點的概念被大量用於解決物體識別、影象匹配、視覺跟蹤、三維重建等問題,比如影象中物體的角點,它們是在影象中可被輕易而精確地定位的二維特徵。顧名思義,特徵點檢測的思想是無需觀察整幅影象,而是通過選擇某些特殊點,然後對它們執行區域性分析。如果能檢測

tensorflow學習筆記sess.run()

session.run([fetch1, fetch2]) 執行sess.run()時,tensorflow是否計算了整個圖 我們在編寫程式碼的時候,總是要先定義好整個圖,然後才呼叫sess

統計學習方法 學習筆記決策樹

人生 最優決策 如何解決 極大似然函數 速度 結點 then 計算 結果 這一個學習筆記將要了解決策樹,在研一上機器學習這門課的時候,老師在講到這一節的時候,舉了一個例子我現在還能記得:你們坐在這裏上課,就像這個決策樹一樣,在你人生中的每一個重要結點,你都做出了選擇,經過多

shell編程學習筆記Shell中的for循環

str don clas 循環 實現 code 結束 最簡 命令 shell編程中可以實現for循環遍歷 先來寫一個最簡單的吧,循環輸出從1到10,腳本內容為: #! /bin/sh for i in {1..10} do echo $i done

機器學習回顧篇11支援向量SVM

  1. 引言¶ SVM,Support Vector Machine,也就是我們中文名的支援向量機,我相信,只要是與機器學習有過照面的童鞋或多或少都聽說過這個名字。作為機器學習家族中的老牌成員,其經典自不必說。從原理和特性上講,SVM

吳恩達機器學習筆記 —— 支持向量SVM

次數 括號 圖片 最小 我們 支持向量機svm UNC 意思 strong 主要內容: 一.損失函數 二.決策邊界 三.Kernel 四.使用SVM 一.損失函數 二.決策邊界 對於: 當C非常大時,括號括起來的部分就接近於0,所以就變成了:

機器學習學習筆記七章 支援向量

支援向量機(Support Vector Machine) 以前非常厲害的一個演算法,不過後來遇到了對手——神經網路 這個也是面試的時候經常會問到的非常重要的一個演算法 SVM要解決的問題:什麼樣的決

NG機器學習總結-SVM支援向量

一、損失函式 在邏輯迴歸中,我們的預測函式和損失函式為: 預測函式: 損失函式: 我們知道當y分別是1和0的時候,其cost函式如下黑色曲線部分: 不難看出,當 y=1時,隨著 z 取值變大,預測損失變小,因此,邏輯迴歸想要在面對正樣本 y=1時

統計學習理論SLT支援向量SVM

0、相關名詞解釋 內積:<x⋅y>=x1⋅y1+x2⋅y2 超平面:是二維中的直線、三維中的平面的推而廣之。它是n維空間的n-1維仿射子空間,能將n維空間分為兩部分,對應輸出中的兩類。 對映:指一個法則,它能夠使一個集合中的元素在另一個集合中有

學習筆記使用支援向量識別XSS

1.特徵化:提取特徵,對特徵進行向量化,標準化,均方差縮放,去均值操作 def get_len(url): return len(url) def get_url_count(url): if re.search('(http://)|(http://)',url,re.IGNO