《当人工智能遇上安全》系列将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。该系列文章会更加聚焦,更加学术,更加深入,也是作者的慢慢成长史。换专业确实挺难的,系统安全也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
前文讲解如何实现威胁情报实体识别,利用BiLSTM-CRF算法实现对ATT&CK相关的技战术实体进行提取,是安全知识图谱构建的重要支撑。这篇文章将详细结合如何利用keras和tensorflow构建基于注意力机制的CNN-BiLSTM-ATT-CRF模型,并实现中文实体识别研究,同时对注意力机制构建常见错误进行探讨。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
- 版本信息:python 3.7,tf 2.2.0,keras 2.3.1,bert4keras 0.11.5,keras-contrib=2.0.8
文章目录
- 一.ATT&CK数据采集
- 二.数据预处理
- 三.安装环境
- 1.安装keras-contrib
- 2.安装keras
- 四.CNN-BiLSTM-ATT-CRF模型构建
- 五.完整代码及实验结果
- 六.Attention构建及兼容问题
- 七.总结
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习AI安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔!
前文推荐:
- [当人工智能遇上安全] 1.人工智能真的安全吗?浙大团队外滩大会分享AI对抗样本技术
- [当人工智能遇上安全] 2.清华张超老师 - GreyOne: Discover Vulnerabilities with Data Flow Sensitive Fuzzing
- [当人工智能遇上安全] 3.安全领域中的机器学习及机器学习恶意请求识别案例分享
- [当人工智能遇上安全] 4.基于机器学习的恶意代码检测技术详解
- [当人工智能遇上安全] 5.基于机器学习算法的主机恶意代码识别研究
- [当人工智能遇上安全] 6.基于机器学习的入侵检测和攻击识别——以KDD CUP99数据集为例
- [当人工智能遇上安全] 7.基于机器学习的安全数据集总结
- [当人工智能遇上安全] 8.基于API序列和机器学习的恶意家族分类实例详解
- [当人工智能遇上安全] 9.基于API序列和深度学习的恶意家族分类实例详解
- [当人工智能遇上安全] 10.威胁情报实体识别之基于BiLSTM-CRF的实体识别万字详解
- [当人工智能遇上安全] 11.威胁情报实体识别 (2)基于BiGRU-CRF的中文实体识别万字详解
- [当人工智能遇上安全] 12.易学智能GPU搭建Keras环境实现LSTM恶意URL请求分类
作者的github资源:
- https://github.com/eastmountyxz/When-AI-meet-Security
- https://github.com/eastmountyxz/AI-Security-Paper
- https://github.com/eastmountyxz/AI-for-Keras
一.ATT&CK数据采集
了解威胁情报的同学,应该都熟悉Mitre的ATT&CK网站,前文已介绍如何采集该网站APT组织的攻击技战术数据。网址如下:
- http://attack.mitre.org
第一步,通过ATT&CK网站源码分析定位APT组织名称,并进行系统采集。
安装BeautifulSoup扩展包,该部分代码如下所示:
01-get-aptentity.py
#encoding:utf-8
#By:Eastmount ****
import re
import requests
from lxml import etree
from bs4 import BeautifulSoup
import urllib.request
#-------------------------------------------------------------------------------------------
#获取APT组织名称及链接
#设置浏览器代理,它是一个字典
headers = {
'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) \
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36'
}
url = 'https://attack.mitre.org/groups/'
#向服务器发出请求
r = requests.get(url = url, headers = headers).text
#解析DOM树结构
html_etree = etree.HTML(r)
names = html_etree.xpath('//*[@class="table table-bordered table-alternate mt-2"]/tbody/tr/td[2]/a/text()')
print (names)
print(len(names),names[0])
filename = []
for name in names:
filename.append(name.strip())
print(filename)
#链接
urls = html_etree.xpath('//*[@class="table table-bordered table-alternate mt-2"]/tbody/tr/td[2]/a/@href')
print(urls)
print(len(urls), urls[0])
print("\n")
此时输出结果如下图所示,包括APT组织名称及对应的URL网址。
第二步,访问APT组织对应的URL,采集详细信息(正文描述)。
第三步,采集对应的技战术TTPs信息,其源码定位如下图所示。
第四步,编写代码完成威胁情报数据采集。01-spider-mitre.py 完整代码如下:
#encoding:utf-8
#By:Eastmount ****
import re
import requests
from lxml import etree
from bs4 import BeautifulSoup
import urllib.request
#-------------------------------------------------------------------------------------------
#获取APT组织名称及链接
#设置浏览器代理,它是一个字典
headers = {
'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) \
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36'
}
url = 'https://attack.mitre.org/groups/'
#向服务器发出请求
r = requests.get(url = url, headers = headers).text
#解析DOM树结构
html_etree = etree.HTML(r)
names = html_etree.xpath('//*[@class="table table-bordered table-alternate mt-2"]/tbody/tr/td[2]/a/text()')
print (names)
print(len(names),names[0])
#链接
urls = html_etree.xpath('//*[@class="table table-bordered table-alternate mt-2"]/tbody/tr/td[2]/a/@href')
print(urls)
print(len(urls), urls[0])
print("\n")
#-------------------------------------------------------------------------------------------
#获取详细信息
k = 0
while k<len(names):
filename = str(names[k]).strip() + ".txt"
url = "https://attack.mitre.org" + urls[k]
print(url)
#获取正文信息
page = urllib.request.Request(url, headers=headers)
page = urllib.request.urlopen(page)
contents = page.read()
soup = BeautifulSoup(contents, "html.parser")
#获取正文摘要信息
content = ""
for tag in soup.find_all(attrs={"class":"description-body"}):
#contents = tag.find("p").get_text()
contents = tag.find_all("p")
for con in contents:
content += con.get_text().strip() + "###\n" #标记句子结束(第二部分分句用)
#print(content)
#获取表格中的技术信息
for tag in soup.find_all(attrs={"class":"table techniques-used table-bordered mt-2"}):
contents = tag.find("tbody").find_all("tr")
for con in contents:
value = con.find("p").get_text() #存在4列或5列 故获取p值
#print(value)
content += value.strip() + "###\n" #标记句子结束(第二部分分句用)
#删除内容中的参考文献括号 [n]
result = re.sub(u"\\[.*?]", "", content)
print(result)
#文件写入
filename = "Mitre//" + filename
print(filename)
f = open(filename, "w", encoding="utf-8")
f.write(result)
f.close()
k += 1
输出结果如下图所示,共整理100个组织信息。
每个文件显示内容如下图所示:
数据标注采用暴力的方式进行,即定义不同类型的实体名称并利用BIO的方式进行标注。通过ATT&CK技战术方式进行标注,后续可以结合人工校正,同时可以定义更多类型的实体。
- BIO标注
| 实体名称 | 实体数量 | 示例 |
|---|---|---|
| APT攻击组织 | 128 | APT32、Lazarus Group |
| 攻击漏洞 | 56 | CVE-2009-0927 |
| 区域位置 | 72 | America、Europe |
| 攻击行业 | 34 | companies、finance |
| 攻击手法 | 65 | C&C、RAT、DDoS |
| 利用软件 | 48 | 7-Zip、Microsoft |
| 操作系统 | 10 | Linux、Windows |
更多标注和预处理请查看上一篇文章。
- [当人工智能遇上安全] 10.威胁情报实体识别之基于BiLSTM-CRF的实体识别万字详解
常见的数据标注工具:
- 图像标注:labelme,LabelImg,Labelbox,RectLabel,CVAT,VIA
- 半自动ocr标注:PPOCRLabel
- NLP标注工具:labelstudio
温馨提示:
由于网站的布局会不断变化和优化,因此读者需要掌握数据采集及语法树定位的基本方法,以不变应万变。此外,读者可以尝试采集所有锻炼甚至是URL跳转链接内容,请读者自行尝试和拓展!
二.数据预处理
假设存在已经采集和标注好的中文数据集,通常采用按字(Char)分隔,读者可以尝试以人民日报为数据集,下载地址如下,中文威胁情报也类似。
- http://s3.bmio.net/kashgari/china-people-daily-ner-corpus.tar.gz
当然也可以自建数据集,包括前面所说的威胁情报数据集。假设存在已经采集和标注好的中文数据集,通常采用按字(Char)分隔,如下图所示,古籍为数据集,当然中文威胁情报也类似。
数据集划分为训练集、验证集和测试集。
三.安装环境
1.安装keras-contrib
CRF模型作者安装的是 keras-contrib。
第一步,如果读者直接使用“pip install keras-contrib”可能会报错,远程下载也报错。
- pip install git+https://www.github.com/keras-team/keras-contrib.git
甚至会报错 ModuleNotFoundError: No module named ‘keras_contrib’。
第二步,作者从github中下载该资源,并在本地安装。
- https://github.com/keras-team/keras-contrib
- keras-contrib 版本:2.0.8
git clone https://www.github.com/keras-team/keras-contrib.git
cd keras-contrib
python setup.py install
安装成功如下图所示:
读者可以从我的资源中下载代码和扩展包。
- https://github.com/eastmountyxz/When-AI-meet-Security
2.安装keras
同样需要安装keras和TensorFlow扩展包。
如果TensorFlow下载太慢,可以设置清华大学镜像,实际安装2.2版本。
pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simple
pip install tensorflow==2.2
四.CNN-BiLSTM-ATT-CRF模型构建
第一步,导入扩展包。
import re
import os
import csv
import sys
import numpy as np
import tensorflow as tf
import keras
from keras.models import Model
from keras.layers import LSTM, GRU, Activation, Dense, Dropout, Input, Embedding, Permute
from keras.layers import Convolution1D, MaxPool1D, Flatten, TimeDistributed, Masking
from keras.optimizers import RMSprop
from keras.layers import Bidirectional
from keras.preprocessing.text import Tokenizer
from keras.preprocessing import sequence
from keras.callbacks import EarlyStopping
from keras.models import load_model
from keras.models import Sequential
from keras.layers.merge import concatenate
from keras import backend as K
from keras_contrib.layers import CRF
from keras_contrib.losses import crf_loss
from keras_contrib.metrics import crf_viterbi_accuracy
第二步,数据预处理及设置参数。
train_data_path = "data/train.csv"
test_data_path = "data/test.csv"
val_data_path = "data/val.csv"
char_vocab_path = "char_vocabs_.txt" #字典文件(防止多次写入仅读首次生成文件)
special_words = ['<PAD>', '<UNK>'] #特殊词表示
final_words = [] #统计词典(不重复出现)
final_labels = [] #统计标记(不重复出现)
#BIO标记的标签 字母O初始标记为0
label2idx = {'O': 0,
'S-LOC': 1, 'B-LOC': 2, 'I-LOC': 3, 'E-LOC': 4,
'S-PER': 5, 'B-PER': 6, 'I-PER': 7, 'E-PER': 8,
'S-TIM': 9, 'B-TIM': 10, 'E-TIM': 11, 'I-TIM': 12
}
print(label2idx)
#{'S-LOC': 0, 'B-PER': 1, 'I-PER': 2, ...., 'I-TIM': 11, 'I-LOC': 12}
#索引和BIO标签对应
idx2label = {idx: label for label, idx in label2idx.items()}
print(idx2label)
#{0: 'S-LOC', 1: 'B-PER', 2: 'I-PER', ...., 11: 'I-TIM', 12: 'I-LOC'}
#读取字符词典文件
with open(char_vocab_path, "r", encoding="utf8") as fo:
char_vocabs = [line.strip() for line in fo]
char_vocabs = special_words + char_vocabs
print(char_vocabs)
#['<PAD>', '<UNK>', '晉', '樂', '王', '鮒', '曰', ':', '小', '旻', ...]
# 字符和索引编号对应
idx2vocab = {idx: char for idx, char in enumerate(char_vocabs)}
vocab2idx = {char: idx for idx, char in idx2vocab.items()}
print(idx2vocab)
#{0: '<PAD>', 1: '<UNK>', 2: '晉', 3: '樂', ...}
print(vocab2idx)
#{'<PAD>': 0, '<UNK>': 1, '晉': 2, '樂': 3, ...}
第三步,定义函数读取数据。
def read_corpus(corpus_path, vocab2idx, label2idx):
datas, labels = [], []
with open(corpus_path, encoding='utf-8') as fr:
lines = fr.readlines()
sent_, tag_ = [], []
for line in lines:
line = line.strip()
#print(line)
if line != '': #断句
value = line.split(",")
word,label = value[0],value[4]
#汉字及标签逐一添加列表 ['晉', '樂'] ['S-LOC', 'B-PER']
sent_.append(word)
tag_.append(label)
"""
print(sent_) #['晉', '樂', '王', '鮒', '曰', ':']
print(tag_) #['S-LOC', 'B-PER', 'I-PER', 'E-PER', 'O', 'O']
"""
else: #vocab2idx[0] => <PAD>
sent_ids = [vocab2idx[char] if char in vocab2idx else vocab2idx['<UNK>'] for char in sent_]
tag_ids = [label2idx[label] if label in label2idx else 0 for label in tag_]
datas.append(sent_ids) #按句插入列表
labels.append(tag_ids)
sent_, tag_ = [], []
return datas, labels
#原始数据
train_datas_, train_labels_ = read_corpus(train_data_path, vocab2idx, label2idx)
test_datas_, test_labels_ = read_corpus(test_data_path, vocab2idx, label2idx)
val_datas_, val_labels_ = read_corpus(val_data_path, vocab2idx, label2idx)
#输出测试结果 (第五句语料)
print(len(train_datas_),len(train_labels_),len(test_datas_),
len(test_labels_),len(val_datas_),len(val_labels_))
print(train_datas_[5])
print([idx2vocab[idx] for idx in train_datas_[5]])
print(train_labels_[5])
print([idx2label[idx] for idx in train_labels_[5]])
第四步,数据填充和one-hot编码。
MAX_LEN = 100
VOCAB_SIZE = len(vocab2idx)
CLASS_NUMS = len(label2idx)
#padding data
print('padding sequences')
train_datas = sequence.pad_sequences(train_datas_, maxlen=MAX_LEN)
train_labels = sequence.pad_sequences(train_labels_, maxlen=MAX_LEN)
test_datas = sequence.pad_sequences(test_datas_, maxlen=MAX_LEN)
test_labels = sequence.pad_sequences(test_labels_, maxlen=MAX_LEN)
print('x_train shape:', train_datas.shape)
print('x_test shape:', test_datas.shape)
#(15362, 100) (1919, 100)
#encoder one-hot
train_labels = keras.utils.to_categorical(train_labels, CLASS_NUMS)
test_labels = keras.utils.to_categorical(test_labels, CLASS_NUMS)
print('trainlabels shape:', train_labels.shape)
print('testlabels shape:', test_labels.shape)
#(15362, 100, 13) (1919, 100, 13)
第五步,建立Attention机制。
K.clear_session()
SINGLE_ATTENTION_VECTOR = False
def attention_3d_block(inputs):
# inputs.shape = (batch_size, time_steps, input_dim)
input_dim = int(inputs.shape[2])
a = inputs
a = Dense(input_dim, activation='softmax')(a)
if SINGLE_ATTENTION_VECTOR:
a = Lambda(lambda x: K.mean(x, axis=1), name='dim_reduction')(a)
a = RepeatVector(input_dim)(a)
a_probs = Permute((1, 2), name='attention_vec')(a)
#output_attention_mul = merge([inputs, a_probs], name='attention_mul', mode='mul')
output_attention_mul = concatenate([inputs, a_probs])
return output_attention_mul
第六步,构建ATT+CNN-BiLSTM+CRF模型。
EPOCHS = 2
EMBED_DIM = 128
HIDDEN_SIZE = 64
MAX_LEN = 100
VOCAB_SIZE = len(vocab2idx)
CLASS_NUMS = len(label2idx)
#模型构建
inputs = Input(shape=(MAX_LEN,), dtype='int32')
x = Masking(mask_value=0)(inputs)
x = Embedding(VOCAB_SIZE, EMBED_DIM, mask_zero=False)(x) #修改掩码False
#CNN
cnn1 = Convolution1D(64, 3, padding='same', strides = 1, activation='relu')(x)
cnn1 = MaxPool1D(pool_size=1)(cnn1)
cnn2 = Convolution1D(64, 4, padding='same', strides = 1, activation='relu')(x)
cnn2 = MaxPool1D(pool_size=1)(cnn2)
cnn3 = Convolution1D(64, 5, padding='same', strides = 1, activation='relu')(x)
cnn3 = MaxPool1D(pool_size=1)(cnn3)
cnn = concatenate([cnn1,cnn2,cnn3], axis=-1)
#BiLSTM
bilstm = Bidirectional(LSTM(64, return_sequences=True))(cnn) #参数保持维度3
layer = Dense(64, activation='relu')(bilstm)
layer = Dropout(0.3)(layer)
#注意力
attention_mul = attention_3d_block(layer) #(None, 100, 128)
x = TimeDistributed(Dense(<