数据包

  • 根据网络协议的类型,数据包有不同的格式。数据包通常由两部分组成:数据包报头和它的有效负载
  • 报头负责引导包在网络中传输,并标记包的源信息。在许多数据收集方法中,报头对于识别和过滤数据包变得很重要。一些基于报头的方法,根据报头中包含的IP地址、端口和协议将数据包分类为多个流。有效负载包含在通信各方之间交换的数据,尽管其中一些数据可以被加密
  • libpcap函数库提供了收集数据包流的所有内容的功能
  • 网络流量的最小传输单元是一个包,每个包包括一个或多个报头和一个有效负载。例如,超文本传输协议(HTTP)包包含14字节媒体访问控制(MAC)层头、20字节互联网协议(IP)层头、20字节传输控制协议(TCP)层头、非固定长度的HTTP头以及有效负载。传统的ids可以应用于从这些标题中提取各种特征。

流数据

  • 流是一组具有相同特征的数据包,在一段时间内通过一个特定的观测点。 通常,五元组特征,包括源和目的互联网协议(IP)地址、源和目的端口、协议类型,是数据包的特征
  • 基于流的数据收集机制减少了包分析中的任务
  • NetFLow机制只涉及包头,但它不考虑包的有效负载

流特征

  • CICFlowMeter可以提取80多个网络流量特性。这些暗示从基于固定规则的包头中提取特征的方法存在两个主要缺点。一个缺陷是只使用存储在头中的信息而忽略有效负载。此外,这些方法对不同协议的适应性也受到了限制。例如,从文件传输协议(FTP)头中提取特性的规则不能用于HTTP头。另一个缺点是,如果将单个数据包视为检测对象,则忽略了数据包之间的相关性。事实上,即使建立一个最简单的TCP连接依赖于一个三方握手,也会生成多个包,这些包相互关联,可以视为一个整体。数据流是多个关联数据包的集合
  • 列举几个内容的统计特征:
    1.由src传输的流数据包大小的平均值
    2.由dst传输的流数据包大小的平均值
    3.包最小值
    4.包最大值
    5.包平均值
  • 列举几个时间特征:
    1.记录开始时间
    2.源数据包到达时间
    3.在TCPSYN和SYN_ACK数据包之间的时间(三次握手)

攻击

CIC-IDS-2017—实现的攻击包括暴力FTP、暴力SSH、DoS、Heartbleed、Web攻击、渗透、僵尸网络和DDoS
其它攻击:后门攻击、ARP欺骗、蠕虫
DOS攻击可以采用hping3进行

现有的工作缺乏对数据真实性验证的研究。它需要确保所收集到的数据真正反映了一个网络环境。数据收集器可以部署在远程的、无监督的地方,在那里,各种攻击者,如会话劫持和内部节点妥协,可以很容易地改变网络路由或数据流量。一些毫无意义的或恶意的数据可以被伪造,并被传输到收集器或服务器上。因此,当收集数据时,它要求数据收集系统的核心组件能够授权出数据来源,以识别受损的收集器

流量数据特征相关与攻击相关推荐

  1. 利用背景流量数据(contexual flow data) 识别TLS加密恶意流量

    识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等.来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为"dat ...

  2. ML之FE:对人类性别相关属性数据集进行数据特征分布可视化分析与挖掘

    ML之FE:对人类性别相关属性数据集进行数据特征分布可视化分析与挖掘 目录 对人类性别相关属性数据集进行数据特征分布可视化分析与挖掘 输出结果 实现代码 对人类性别相关属性数据集进行数据特征分布可视化 ...

  3. 基于机器学习和背景流量数据的加密恶意流量检测

    文章目录 1 加密流量现状 1.1 加密流量检测的必要性 1.2 加密恶意流量的检测方法 2 加密流量特征分析 2.1 可观察的数据元统计特征 2.1.1 传统流数据 2.1.2 字节分布 2.1.3 ...

  4. 如何通过数据包套接字攻击Linux内核

    一.前言 最近我花了一些时间使用syzkaller工具对Linux内核中与网络有关的接口进行了模糊测试(fuzz).除了最近发现的DCCP套接字漏洞之外,我还发现了另一个漏洞,该漏洞位于数据包套接字( ...

  5. TCP/IP卷一:49---ICMP之(与ICMP相关的攻击)

    涉及ICMP的攻击主要分为3类: 泛洪:泛洪将会生成大量流量,导致针对一台或者多台计算机的有效的Dos攻击 炸弹:炸弹类型(有时也称为核弹(nuke)类型)指的是发送经过特殊构造的报文,能够导致IP或 ...

  6. 大数据特征与发展历程

    大数据(big data)是这样的数据集合:数据量增长速度极快,用常规的数据工具无法在一定的时间内进行采集.处理.存储和计算的数据集合. 作者认为具有以下五大特征(4V+1O)的数据才称之为大数据,即 ...

  7. 基于小波神经网络的短期网络流量数据预测

    目录 1.算法仿真效果 2.MATLAB核心程序 3.算法涉及理论知识概要 4.完整MATLAB 1.算法仿真效果 matlab2022a仿真结果如下: 2.MATLAB核心程序 .......... ...

  8. TLS/SSl相关的攻击漏洞及检测方法大杂烩!

    TLS/SSl相关的攻击漏洞及检测方法大杂烩! 曾以为爱可以排除万难,可万难过后,又有万难. 漏洞介绍: TLS/SSL介绍: SSL"安全套接层"协议,TLS"安全传输 ...

  9. python使用箱图法和业务规则进行异常数据处理并检查预测使用的数据特征是否有字段缺失的情况并补齐

    python使用箱图法和业务规则进行异常数据处理并检查预测使用的数据特征是否有字段缺失的情况并补齐 关于预测或者推理的时候特征补齐的情况是这样的: 你在模型训练的时候使用了多少特征,那么在模型预测和推 ...

最新文章

  1. Flask web开发之路四
  2. centerface
  3. Python教程:Sys 与 Import 模块
  4. linux 创建wifi 热点_Linux创建无线WIFI热点 2.4g/5g
  5. 一个突变基因保护了欧洲人祖先
  6. Ubuntu 10.04 分辨率调整
  7. 计算机网络的通信方式有哪几种,数据通信方式有哪几种
  8. AI-终极算法-遗传算法
  9. Matlab快速傅里叶变换
  10. DGA 域名生成算法攻防
  11. 计算机科学与技术U盘,速度竟差9倍!6款32GB USB3.0优盘横评
  12. 阴历转换阳历c语言csdn,JavaScript实现公历转换农历
  13. 一点笔记,好记性不如烂笔头
  14. 牛客小白月赛1分元宵
  15. win7 下安装vs2010 pro 失败解决方法
  16. 木马伪装“刷单任务” 劫持QQ语音暗中盗号
  17. Windows系统下安装配置 MinGW-w64 开发环境
  18. 计算机二级报名座位按什么顺序,报考指南:计算机二级考试备考与指南
  19. 图像数据格式uint8与double以及图像类型转换
  20. 安卓期末项目:星座App

热门文章

  1. 安全狗受邀出席CIS 2022网络安全创新大会
  2. 如何让用户感知产品的价值?
  3. nao机器人学习笔记4
  4. 树莓派小车#1 - 硬件采购和简单运动控制系统
  5. LTE Gold码生成
  6. 【老生谈算法】matlab实现手写输入板源码——手写输入板
  7. Numpy大作业之简洁版
  8. Redis的容量不足该怎么办?
  9. SQL Server数据库存储过程——以自定义存储过程为例
  10. CCF 2018/09/02 买菜