Будьте осторожны с этим набором данных.
http://www.kdnuggets.com/news/2007/n18/4i.html
Некоторые выдержки:
искусственные данные были сгенерированы с использованием закрытой сети, некоторых проприетарных генераторов сетевого трафика и ручных атак.
Среди поднятых вопросов наиболее важным, по-видимому, было то, что никогда не проводилась проверка, чтобы показать, что набор данных DARPA действительно выглядит как реальный сетевой трафик.
В 2003 году Махони и Чан построили простую систему обнаружения вторжений и проверили ее на данных tcpdump DARPA. Они обнаружили многочисленные нарушения, в том числе то, что из-за способа генерации данных все вредоносные пакеты имели TTL 126 или 253, тогда как почти все безопасные пакеты имели TTL 127 или 254.
набор данных DARPA (и, соответственно, набор данных KDD Cup '99) был в корне неверным, и нельзя было сделать никаких выводов из каких-либо экспериментов, проведенных с их использованием
мы настоятельно рекомендуем (1) всем исследователям прекратить использование набора данных KDD Cup '99.
Что касается используемого извлечения признаков. IIRC, большинство функций просто были атрибутами проанализированных заголовков IP/TCP/UDP. Например, номер порта, последний октет IP и некоторые флаги пакетов.
Таким образом, эти данные больше не отражают реалистичные атаки. Сегодняшние стеки TCP/IP намного надежнее, чем во времена создания набора данных, когда ping-запрос мгновенно блокировал хост Windows. Теперь каждый разработчик стека TCP/IP должен знать о риске таких искаженных пакетов и проводить стресс-тестирование стека против таких вещей.
При этом эти функции стали практически бессмысленными. Неправильно установленные SYN-флаги и т.п. больше не используются в сетевых атаках; они намного сложнее; и, скорее всего, атакует уже не стек TCP/IP, а службы, работающие на следующем уровне. Так что я бы не стал выяснять, какие низкоуровневые флаги пакетов использовались в ошибочной симуляции 99-го с использованием атак, которые работали в начале 90-х...
person
Has QUIT--Anony-Mousse
schedule
30.12.2012