本章以ADFA-LD数据集为例介绍Linux系统的后门测试,2-Gram和TF-IDF提取技术用于提取特征,为深入学习,所述的分类算法包括NB、XGBoost和多层遥感机MLP。

一、数据集

在《安全机器学习入门》的几个单元中确实提到了这种数据收集工作。ADFA数据集收集了澳大利亚国防学院主机级入侵探测系统的数据。它通常用于入侵探测系统的测试。ADFA-LD和ADFA-WD被列入数据收集。数据集分别反映Linux和Windows操作系统。

就ADFA-LD而言,它全面记录了随着时间的推移所有系统呼叫操作系统的情况,内核提供了用户空间方案和内核空间之间的一套共同界面,允许用户国家应用程序限制使用硬件设备,例如应用系统。
统资源，操作设备读写，创建新进程等。用户空间发生请求，内核空间负责执行，这些界面作为用户和内核空间之间的链接。这里有两个术语:“限制”和“限制”。是因为内核的稳定性无法给予用户空间程序对系统的完全控制。要调用相关接口,程序必须开放,接受内部检查,并满足权利要求。在用户和内核之间的差距,中间有一个层 被称为"系统呼叫。"是用户和内核状态之间的联系。这改善了内核的安全这也使得移植更容易,因为接口是相同的。Linux系统，通过对内核空间进行系统呼叫,用户空间被轻轻地中断。这就是为什么软件处于内核模式。执行相应的操作。每个系统呼叫都指定一个系统呼叫号码。远远低于许多其他操作系统。

数据集处理代码如下

调用如下所示

二、特征提取

三、模型构建

1、NB

以下是逻辑处理图:

代码如下所示

2、XGBoost

以下是逻辑处理图:

源码如下所示

3、MLP

以下是逻辑处理图:

源码如下所示

四、测试结果

由于提交人的代码未经彻底检查,提交人源代码中打印的部分信息为2克,如下文所示。

事实上,这与上一个获取_feature_wordbag () 函数中的N-gram配置一致,例如,在本小节中,我的前编码为3*3,所以通常应该写成,以便读者不会误解。

运行结果如下

没有任何作者得出与上述结果相同的结论,但差别不大。