Набор данных KDD1999 Особенности exolaination
Я использую набор данных KDD1999 для предотвращения вторжений, но у меня есть несколько вопросов об особенностях: может кто-нибудь объяснить мне или дать мне значение флагов. Вот список флагов, используемых в наборе данных KDD1999:
'flag' { 'OTH', 'REJ', 'RSTO', 'RSTOS0', 'RSTR', 'S0', 'S1', 'S2', 'S3', 'SF', 'SH' }
Вот пример записей набора данных KDD:
0,udp,private,SF,105,146,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,0.00,normal.
0,udp,private,SF,105,146,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,0.00,normal.
0,udp,private,SF,105,146,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,0.00,normal.
0,udp,private,SF,105,146,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,2,2,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,254,1.00,0.01,0.00,0.00,0.00,0.00,0.00,0.00,snmpgetattack.
1 ответ
Прежде всего, обратите внимание, что набор данных имеет недостатки и не должен использоваться ( оператор KDNuggets). Говорят с грустью по двум причинам: A) это совсем не реально, в частности, не для современных атак (черт возьми, даже для реальных атак в 1998 году!) - сегодня большинство атак - это инъекция SQL и кража пароля через трояны, ни одна из который будет обнаруживаться с помощью таких данных. B) набор данных ориентирован на атаки, поэтому он состоит из атак с некоторым фоновым шумом; в то время как фактический трафик будет в основном содержать данные и некоторые атаки, и C) он был смоделирован в основном с виртуальной сетью, и вы можете обнаружить "атаки" только по моделируемой топологии сети.
Судя по документации обычной предварительно обработанной версии, флаги являются производным значением состояния соединения, то есть был ли ответ на попытку соединения TCP REJ, TCP RST и т. Д.