tpot数据分析
Posted zealousness
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了tpot数据分析相关的知识,希望对你有一定的参考价值。
部署了半个月,分析一下数据:
需要提前知道的是,tpot中,每天的数据存一个index,然后每个index里面有不同的type,每条请求一个document
共24万条请求:
以7月23日为例,1.5万条请求:
查看每天都能捕获到哪些type的请求,想要看所有type需要自己整理:
dashboard中显示的请求都是攻击吗
dashboard中显示的honeypot中捕获的攻击请求只有cowrie,rdpy,elasticpot。
看了一下,cowire,rdpy中的请求基本上都算是攻击。
但是查看一下捕获到的elasticpot的请求:
src_ip 172.22.0.1是本地地址,这明明是我自己发的请求,却被当作攻击了,event_pot还被标做了alert。。。
然后用src_ip过滤掉自己的请求,发现就没有elasticpot攻击:
dashboard中没显示的请求就不是攻击吗
但是我们在type里还看到了许多其他的请求,那这些是不是攻击呢?
以suricata为例,我们看一下所有的suricata,八万条:
看一下请求的具体信息:
有的比较像攻击:src_ip不是本地ip,event_type的值为alert
有的一看就不是攻击:
例如上图这个event_type显示只是dns请求而已。
所以使用src_ip=192.168.0.233过滤掉所有dns请求:
过滤完直接从8w条变成1.5w条,没用的dns请求是真滴多啊。。。
但这1.5w条我们也不能断定都是攻击
以上是关于tpot数据分析的主要内容,如果未能解决你的问题,请参考以下文章
python基于tpot训练模型在获得最佳模型之后对模型进行交叉验证分析并可视化实战
Python使用tpot获取最优模型将最优模型应用于交叉验证数据集(5折)获取数据集下的最优表现,并将每一折(fold)的预测结果概率属于哪一折与测试集标签结果概率一并整合输出为结果文件