我正在做入侵检测系统的项目 . 我正在使用JPCAP库来捕获数据包 . 使用JPCAP我能够构建KDD 99数据集中提到的TCP连接的基本功能(例如,持续时间,协议类型,服务,源端口,目标端口) . 我想构建内容功能,如“ hot indicators, num_failed_logins, su_attempted, is_hot_login, is_guest_login" . 和基于时间的功能,如” count, serror_rate,rerror_rate, same service rate “ .
所以请给我任何关于从实时流量构建这些功能的提示 .
1 回答
您实现的功能只是网络级功能,即时间持续时间,协议类型,服务,源端口,目标端口,您可以通过使用JPCAP读取IP数据包获得 . 问题是JPCAP / Libpcap只是一个嗅探器库,不能处理低级协议问题 . 用于处理所有TCP / IP之类的东西
IP碎片
TCP重传
数据包重新排序
我建议将代码与Libnids集成,模拟Linux 2.0.x的IP堆栈 . 并提供IP碎片整理,TCP流汇编和审核Justniffer作为实现 .