我正在做入侵检测系统的项目。我正在使用JPCAP库来捕获数据包。使用JPCAP我能够构建KDD 99数据集中提到的TCP连接的基本功能(例如,持续时间,协议类型,服务,源端口,目标端口)。我想构建内容功能,如“热指标,num_failed_logins,su_attempted,is_hot_login,is_guest_login”。基于时间的功能,如“计数,serror_rate,rerror_rate,相同服务率”。
所以请给我任何关于从实时流量构建这些功能的提示。
答案 0 :(得分:1)
您实现的功能只是网络级功能,即时间持续时间,协议类型,服务,源端口,目标端口,您可以通过使用JPCAP读取IP数据包获得。问题是JPCAP / Libpcap只是一个嗅探器库,不能处理低级协议问题。用于处理所有TCP / IP内容,如
我建议将代码与Libnids集成,以模拟Linux 2.0.x的IP堆栈。并提供IP碎片整理,TCP流汇编和审核Justniffer作为实现。