1

侵入検知システムに関するプロジェクトを行っています。JPCAP ライブラリを使用してパケットをキャプチャしています。JPCAP を使用して、KDD 99 データセットに記載されている TCP 接続の基本機能 (期間、プロトコル タイプ、サービス、送信元ポート、宛先ポートなど) を構築できます。「ホット インジケーター、num_failed_logins、su_attempted、is_hot_login、is_guest_login」などのコンテンツ機能を構築したいと考えています。また、「カウント、serror_rate、rerror_rate、同じサービス率」などの時間ベースの機能。

ライブ トラフィックからそのような機能を構築するためのヒントを教えてください。

4

1 に答える 1

1

あなたが実装した機能は、ネットワーク レベルの機能です。つまり、time Duration、protocol_type、Service、Source port、destination port であり、JPCAP を使用して IP パケットを読み取ることによって取得できます。問題は、JPCAP/Libpcap が単なるスニファー ライブラリであり、低レベルのプロトコルの問題を処理しないことです。次のようなすべてのTCP / IPのものを処理するため

  1. IP フラグメンテーション
  2. TCP 再送信
  3. パケットの並べ替え

Linux 2.0.x の IP スタックをエミュレートするLibnidとコードを統合することをお勧めします。また、実装としてIP デフラグ、TCP ストリーム アセンブリ、レビューJustnifferを提供します。

于 2013-01-27T07:42:33.797 に答える