Как извлечь особенности KDD99 из файла pcap DARPA?

Question

Как извлечь особенности KDD99 из файла pcap DARPA?

Недавно я работал с пакетами сетевого трафика DARPA и его производной версией, использованной в KDD99 для оценки обнаружения вторжений.

Извините за мои ограниченные знания предметной области в компьютерных сетях, я мог извлечь только 9 функций из заголовков пакетов DARPA. и не 41 функция, используемая в KDD99.

Я намерен продолжить свою работу над набором данных для оценки обнаружения вторжений UNSC ISCX. Однако я хочу извлечь из файлов pcap 41 функцию, используемую в KDD99, и сохранить ее в формате CSV. Есть ли быстрый / простой способ добиться этого?

как это уже было сделано ранее для KDD99, есть ли библиотека или конвертер, который может сделать это для меня? если нет, есть ли руководство, как извлечь эти функции из файла pcap?

5

machine-learning pcap intrusion-detection

Источник

user1115277 30 дек '12 в 10:56

1 ответ

Решение

Другие вопросы по тегам machine-learning pcap intrusion-detection

user1060350 30 дек '12 в 12:02 2012-12-30 12:02 · Accepted Answer · 2012-12-30 12:02

Будьте осторожны с этим набором данных.

http://www.kdnuggets.com/news/2007/n18/4i.html

Некоторые выдержки:

искусственные данные были получены с использованием закрытой сети, некоторых проприетарных генераторов сетевого трафика и ручных атак
Среди поднятых вопросов наиболее важным, по-видимому, было то, что не было проведено никакой проверки, чтобы показать, что набор данных DARPA действительно выглядит как реальный сетевой трафик.
В 2003 году Махони и Чан создали тривиальную систему обнаружения вторжений и применили ее к данным tcpdump DARPA. Они обнаружили многочисленные нарушения, в том числе - из-за способа генерации данных - все вредоносные пакеты имели TTL 126 или 253, тогда как почти все доброкачественные пакеты имели TTL 127 или 254.
набор данных DARPA (и, соответственно, набор данных KDD Cup '99) был в корне нарушен, и нельзя было сделать какие-либо выводы из экспериментов, проведенных с их использованием
Мы настоятельно рекомендуем (1) всем исследователям прекратить использование набора данных KDD Cup '99

Что касается функции извлечения используется. IIRC большинство функций просто были атрибутами разбираемых заголовков IP/TCP/UDP. Например, номер порта, последний октет IP и некоторые флаги пакетов.

Таким образом, эти выводы больше не отражают реалистичные атаки. Сегодняшние стеки TCP/IP гораздо более надежны, чем во время создания набора данных, когда "пинг смерти" мгновенно блокирует хост Windows. Каждый разработчик стека TCP/IP должен теперь знать о риске таких искаженных пакетов и подвергать стресс-тестирование стека таким вещам.

С этим эти функции стали в значительной степени бессмысленными. Неправильно установленные флаги SYN и т. Д. Больше не используются в сетевых атаках; они гораздо более сложные; и, скорее всего, больше не атакует стек TCP/IP, а работает службы на следующем уровне. Поэтому я не стал бы выяснять, какие флаги пакетов низкого уровня использовались в этой некорректной модели 99-го года с использованием атак, которые работали в начале 90-х...