如何使用 JnetPcap 检查连接中的 SYN 错误(JNETPCAP 是 libpcap 的 Java 包装器)?另外如何检查连接中的REJ错误?
我正在构建入侵检测系统。目前正在为直播系统提取 KDD CUP 99 数据集的属性。
任何参考都会对我有所帮助。
问问题
2509 次
1 回答
3
您可以使用Bro找出连接/流的状态。为此,运行 Bro 如下:
bro -r trace.pcap
这会生成一个文件conn.log,其中包含conn_state反映连接状态的列。以下是该字段的一些相关值,详细信息请参阅文档:
- S0:看到连接尝试,没有回复。
- S1:连接已建立,未终止。
- SF:正常建立和终止。请注意,这与状态 S1 的符号相同。您可以将两者区分开来,因为对于 S1,摘要中不会有任何字节数,而对于 SF,会有。
- REJ:连接尝试被拒绝。
- RSTO:连接建立,发起者中止(发送 RST)。
- RSTR:建立,响应者中止。
作为旁注,IDS 研究社区强烈反对使用 DARPA 数据集(以及派生的 KDD Cup 数据集),尽管它具有吸引力。
于 2012-04-08T17:48:54.313 回答