如何使用JnetPcap检查连接中的SYN错误(JnetPcap是libpcap的java包装器)?此外,如何检查连接中的REJ错误?
我正在构建入侵检测系统。目前正在为实时系统提取KDD CUP 99数据集的属性。
任何参考资料对我都有帮助。
您可以使用Bro来查找连接/流的状态。为此,运行Bro如下:
bro -r trace.pcap
这将生成一个文件conn.log,其中包含反映连接状态的列conn_state。以下是该字段的一些相关值,有关详细信息,请参阅文档:
- S0:看到连接尝试,没有回复
- S1:连接已建立,未终止
- SF:正常建立和终止。注意,这是与状态S1相同的符号。您可以将两者区分开来,因为对于S1,摘要中不会有任何字节计数,而对于SF,则会有
- REJ:连接尝试被拒绝
- RSTO:建立连接,发起方中止(发送RST)
- RSTR:已建立,响应程序中止
顺便说一句,IDS研究界强烈反对使用DARPA数据集(以及衍生的KDD Cup数据集),尽管它具有吸引力。