看论文 该数据集是从一个模拟的美国空军局域网上采集来的 9 个星期的网络连接数据, 分成具有标识的训练数据和未加标识的测试数据.测试数据和训练数据有着不同的概率分布, 测试数据包含了一些未出现在训练数据中的攻击类型, 这使得入侵检测更具有现实性. 在训练集中包含了1种正常的标识类型 normal 和 22种训练攻击类型. 1.KDDCup99入侵检测实验数据的标识类型 标识类型 含义 具体分类标识 Normal 正常记录 normal DOS 拒绝服务攻击 back, land, neptune…

网络入侵检测规避工具fragrouter   网络入侵检测系统可以通过拦截数据包,获取内容进而判断是否为恶意数据包.对于传输较大的数据包,通常会采用分片的方式,将大数据包拆分为小数据包进行传输.如果入侵检测系统不具备数据包重组功能,就无法侦测到分片的恶意数据包.   而Kali Linux提供的fragrouter就是基于该漏洞开发的规避工具.该工具可以拦截发送给网卡的数据,进行重新分片,然后再发送.它支持22种分片方式.这些分片方式采用乱序.重复分片.空包.交叉发包等措施,以规避检测系统.使用…

Features From: Terry Brugger Date: 15 Sep 2007 Subject: KDD Cup '99 dataset (Network Intrusion) considered harmful Oftentimes in the scientific community, we become interested in new techniques or approaches based on characteristics of the technique…

2016-09-27 上篇文章大致介绍了qemu网络虚拟化相关的数据结构,本篇就结合qemu-kvm源代码分析下各个数据结构是如何初始化以及建立联系的. 这里还是分为三个部分: 1.Tap设备区 2.Hub区 3.NIC区 1.Tap设备区 在net.c中有数组记录下net client 初始化的相关函数 static int (* const net_client_init_fun[NET_CLIENT_OPTIONS_KIND_MAX])( const NetClientOptions *o…

插曲:   今天下午欣喜的想写点关于qemu网络部分的功能,但是中途出现了点小插曲,电脑被某人搞得死机了,并且文章也没有保存.结果,,,就只能重新写了!!所以这里强烈建议开发团队提供自动保存的功能! 言归正传,前段时间自己写过关于Linux 内部网桥的实现原理以及数据包从物理网卡到达Linux网桥进行转发,再到Tap设备的流程.从qemu网络虚拟化整体框架来看,这部分只能算是前端,就像是数据到达了交换机,还没有从交换机到达具体客户机.这么比喻也不是很贴切,因为Linux网桥就好比一个交换机了,但…

2016-09-27 前篇文章通过分析源代码,大致描述了各个数据结构之间的关系是如何建立的,那么今天就从数据包的角度,分析下数据包是如何在这些数据结构中间流转的! 这部分内容需要结合前面两篇文章来看,我们还是按照从Tap设备->Hub->NIC的流程. 首先看Tap设备,在Tap.c文件中: 先看下Tap设备注册的处理函数 static NetClientInfo net_tap_info = { .type = NET_CLIENT_OPTIONS_KIND_TAP, .size = siz…

Libnids开发包介绍     Libnids是一个用于网络入侵检测开发的专业编程接口,它使用了Libpcap所以它具有捕获数据包的功能.同时,Libnids提供了TCP数据流重组功能,所以对于分析基于TCP协议的各种协议Libnids都能胜任.Libnids还提供了对IP分片进行重组的功能,以及端口扫描检测和异常数据包检测功能.Libnids数据结构 一.基本常量 1.报警类型 enum { NIDS_WARN_IP =1,  //IP数据包异常 NIDS_WARN_TCP,//TCP数据包…

1. ADFA-LD数据集简介 ADFA-LD数据集是澳大利亚国防学院对外发布的一套主机级入侵检测数据集合,包括Linux和Windows,是一个包含了入侵事件的系统调用syscall序列的数据集(以单个进程,一段时间窗口内的systemcall api为一组) ADFA-LD数据已经将各类系统调用完成了特征化,并针对攻击类型进行了标注,各种攻击类型见下表 攻击类型 数据量 标注类型 Trainning 833 normal Validation 4373 normal Hydra-FTP 16…

SNORT入侵检测系统 YxWa · 2015/10/09 10:38 0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向. msg:在告警和包日志中打印消息 sid:Snort规则id … 这条规则看字面意思就很容易理解.Sn…

目录 IDS入侵检测系统 入侵检测系统的作用 入侵检测系统功能 入侵检测系统的分类 入侵检测系统的架构 入侵检测工作过程 数据检测技术 误用检测 异常检测 IDS的部署 基于网络的IDS 基于主机的IDS 入侵检测系统的局限性 IDS入侵检测系统 IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备.它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术.在很多中大型企…