数据包
- 根据网络协议的类型,数据包有不同的格式。数据包通常由两部分组成:数据包报头和它的有效负载
- 报头负责引导包在网络中传输,并标记包的源信息。在许多数据收集方法中,报头对于识别和过滤数据包变得很重要。一些基于报头的方法,根据报头中包含的IP地址、端口和协议将数据包分类为多个流。有效负载包含在通信各方之间交换的数据,尽管其中一些数据可以被加密
- libpcap函数库提供了收集数据包流的所有内容的功能
- 网络流量的最小传输单元是一个包,每个包包括一个或多个报头和一个有效负载。例如,超文本传输协议(HTTP)包包含14字节媒体访问控制(MAC)层头、20字节互联网协议(IP)层头、20字节传输控制协议(TCP)层头、非固定长度的HTTP头以及有效负载。传统的ids可以应用于从这些标题中提取各种特征。
流数据
- 流是一组具有相同特征的数据包,在一段时间内通过一个特定的观测点。 通常,五元组特征,包括源和目的互联网协议(IP)地址、源和目的端口、协议类型,是数据包的特征
- 基于流的数据收集机制减少了包分析中的任务
- NetFLow机制只涉及包头,但它不考虑包的有效负载
流特征
- CICFlowMeter可以提取80多个网络流量特性。这些暗示从基于固定规则的包头中提取特征的方法存在两个主要缺点。一个缺陷是只使用存储在头中的信息而忽略有效负载。此外,这些方法对不同协议的适应性也受到了限制。例如,从文件传输协议(FTP)头中提取特性的规则不能用于HTTP头。另一个缺点是,如果将单个数据包视为检测对象,则忽略了数据包之间的相关性。事实上,即使建立一个最简单的TCP连接依赖于一个三方握手,也会生成多个包,这些包相互关联,可以视为一个整体。数据流是多个关联数据包的集合
- 列举几个内容的统计特征:
1.由src传输的流数据包大小的平均值 2.由dst传输的流数据包大小的平均值 3.包最小值 4.包最大值 5.包平均值 - 列举几个时间特征:
1.记录开始时间 2.源数据包到达时间 3.在TCP的SYN和SYN_ACK数据包之间的时间(三次握手)
攻击
CIC-IDS-2017—实现的攻击包括暴力FTP、暴力SSH、DoS、Heartbleed、Web攻击、渗透、僵尸网络和DDoS 其它攻击:后门攻击、ARP欺骗、蠕虫 DOS攻击可以采用hping3进行
现有的工作缺乏对数据真实性验证的研究。它需要确保所收集到的数据真正反映了一个网络环境。数据收集器可以部署在远程的、无监督的地方,在那里,各种攻击者,如会话劫持和内部节点妥协,可以很容易地改变网络路由或数据流量。一些毫无意义的或恶意的数据可以被伪造,并被传输到收集器或服务器上。因此,当收集数据时,它要求数据收集系统的核心组件能够授权出数据来源,以识别受损的收集器
|