TETP_ZeekHunter/example.py at main · cutiips/TETP_ZeekHunter · GitHub

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
# Pas exécutable, mais sert d'exemple de code

# ====================================================
# 1. Préparation du dataset (extraction des données de Zeek)
# ====================================================

import pandas as pd

# Lecture du fichier conn.log généré par Zeek
df = pd.read_csv("/usr/local/zeek/logs/current/conn.log", sep='\t', comment='#', header=None)

# Définition des colonnes du fichier log
columns = ['ts', 'uid', 'id.orig_h', 'id.orig_p', 'id.resp_h', 'id.resp_p',
           'proto', 'service', 'duration', 'orig_bytes', 'resp_bytes', 'conn_state']
df.columns = columns[:df.shape[1]]

# Sélection des variables pertinentes (features)
features = ['id.orig_h', 'id.resp_h', 'id.resp_p', 'proto', 'duration',
            'orig_bytes', 'resp_bytes', 'conn_state']
df = df[features]

# Labellisation simplifiée :
# Si l'IP de destination est privée => trafic normal (0)
# Sinon => trafic potentiellement anormal (1)
def label_row(row):
    if row['id.resp_h'].startswith(('192.', '10.', '172.')):
        return 0
    return 1

df['label'] = df.apply(label_row, axis=1)

# Sauvegarde du dataset labellisé
df.to_csv("labeled_conn.csv", index=False)


# ====================================================
# 2. Entraînement d'un modèle Random Forest
# ====================================================

import pandas as pd
from sklearn.ensemble import RandomForestClassifier
from sklearn.model_selection import train_test_split
from sklearn.preprocessing import LabelEncoder
import joblib

# Chargement du dataset
df = pd.read_csv("labeled_conn.csv").replace('-', 0)

# Conversion des variables numériques
for col in ['id.resp_p', 'duration', 'orig_bytes', 'resp_bytes']:
    df[col] = pd.to_numeric(df[col], errors='coerce').fillna(0)

# Encodage des variables catégorielles
encoders = {}
for col in ['id.orig_h', 'id.resp_h', 'proto', 'conn_state']:
    le = LabelEncoder()
    df[col] = le.fit_transform(df[col].astype(str))
    encoders[col] = le

# Séparation du jeu d'entraînement et du jeu de test
X = df.drop('label', axis=1)
y = df['label']
X_train, X_test, y_train, y_test = train_test_split(X, y, test_size=0.2, random_state=42)

# Entraînement du modèle Random Forest
clf = RandomForestClassifier(n_estimators=100, random_state=42)
clf.fit(X_train, y_train)

# Sauvegarde du modèle et des encoders
joblib.dump(clf, "model/rf_model.joblib")
joblib.dump(encoders, "model/encoders.joblib")


# ====================================================
# 3. Prédiction sur de nouveaux logs Zeek
# ====================================================

import pandas as pd
import joblib

# Chargement du modèle et des encoders
clf = joblib.load("model/rf_model.joblib")
encoders = joblib.load("model/encoders.joblib")

# Lecture d'un nouveau fichier conn.log
df = pd.read_csv("/usr/local/zeek/logs/current/conn.log", sep='\t', comment='#', header=None)
columns = ['ts', 'uid', 'id.orig_h', 'id.orig_p', 'id.resp_h', 'id.resp_p',
           'proto', 'service', 'duration', 'orig_bytes', 'resp_bytes', 'conn_state']
df.columns = columns[:df.shape[1]]

# Préparation des features
df = df[features].replace('-', 0)

# Conversion numérique
for col in ['id.resp_p', 'duration', 'orig_bytes', 'resp_bytes']:
    df[col] = pd.to_numeric(df[col], errors='coerce').fillna(0)

# Encodage identique à l'entraînement
for col in ['id.orig_h', 'id.resp_h', 'proto', 'conn_state']:
    df[col] = encoders[col].transform(df[col].astype(str).where(df[col] != '', '0'))

# Prédictions du modèle
df['prediction'] = clf.predict(df)

# Affichage des connexions détectées comme suspectes
print(df[df['prediction'] == 1])