我正在做入侵检测系统的项目。我正在使用JPCAP库来捕获数据包。使用 JPCAP,我能够构建 KDD 99 数据集中提到的 TCP 连接的基本功能(例如持续时间、protocol_type、服务、源端口、目标端口)。我想构建"热门指标、num_failed_logins、su_attempted、is_hot_login、is_guest_login"等内容功能。以及基于时间的功能,例如"计数,serror_rate,rerror_rate,相同的服务速率"。
因此,请给我任何关于从实时流量构建此类功能的提示。
您实现的功能只是网络级功能,即持续时间,protocol_type,服务,源端口,目标端口,您可以通过使用JPCAP读取IP数据包来获得这些功能。问题是JPCAP/Libpcap只是一个嗅探器库,不处理低级协议问题。用于处理所有TCP/IP内容,例如
- IP 碎片
- TCP重传
- 数据包重新排序
我建议将你的代码与 Libnids 集成,它模拟 Linux 2.0.x 的 IP 堆栈,并提供 IP 碎片整理、TCP 流组装和审查 Justniffer 作为实现。