1

我正在做入侵检测系统的项目。我正在使用 JPCAP 库来捕获数据包。使用 JPCAP,我能够构建 KDD 99 数据集中提到的 TCP 连接的基本特征(例如持续时间、协议类型、服务、源端口、目标端口)。我想构建诸如“热门指标、num_failed_logins、su_attempted、is_hot_login、is_guest_login”之类的内容特征。以及基于时间的功能,例如“计数、serror_rate、rerror_rate、相同的服务率”。

因此,请给我任何有关从实时流量构建此类功能的提示。

4

1 回答 1

1

您实现的功能只是网络级别的功能,即时间持续时间、协议类型、服务、源端口、目标端口,您可以通过使用 JPCAP 读取 IP 数据包获得。问题是 JPCAP/Libpcap 只是一个嗅探器库,不处理低级协议问题。用于处理所有 TCP/IP 内容,例如

  1. IP分片
  2. TCP 重传
  3. 数据包重新排序

我建议将您的代码与模拟 Linux 2.0.x 的 IP 堆栈的Libnids集成。并提供 IP 碎片整理、TCP 流组装和审查Justniffer作为实现。

于 2013-01-27T07:42:33.797 回答