我目前正在从事一个项目“为 snort IDS 的网络入侵检测创建规则”。snort IDS 使用网络数据包头属性(例如 ttl、ip 等)作为规则。我目前正在使用 KDD 1999 数据集进行规则创建部分。但是,我发现很难将 KDD 属性映射到 tcp 标头属性。是否有任何新数据集可用于创建 snort 规则?
问问题
1155 次
2 回答
0
最好使用您自己的流量跟踪。
wireshark 或 ms 网络监视器。
这些工具可帮助您收集应用程序的流量。
http://snorgen.korea.ac.kr/ 这个网站可能会帮助您创建 snort 规则。
于 2015-04-13T01:00:01.120 回答
0
如果您提到大约 44 kdd 功能,请注意这些是聚合功能(其中大部分)。如果你想用 snort 风格的规则对它们进行编码,你需要逆向工程(以某种方式)特征集,即从特征值到接收的数据包。Snort 有时间样式规则(如果我记得的话),您可以通过它定义跨数据包的规则。不过,我不确定它有多容易/多难。
于 2015-07-27T20:22:44.803 回答