基于JPCAP的入侵检测系统特征构建

Question

我正在做入侵检测系统的项目。我正在使用JPCAP库来捕获数据包。使用JPCAP可以构造KDD 99数据集中提到的TCP连接的基本特性(例如持续时间、protocol_type、服务、源端口、目的端口)。我想要构建像“热指标，num_failed_logins，su_attempted，is_hot_login，is_guest_login"这样的内容特性。基于时间的功能，如“计数，serror_rate，rerror_rate，相同的服务速率”。

因此，请给我任何提示，以建设这样的功能从现场交通。

Answer 1

您实现的功能只是网络级别的特性，即时间持续时间、protocol_type、服务、源端口、目的端口，您可以通过使用JPCAP读取IP数据包来获得这些功能。问题是JPCAP/Libpcap只是一个嗅探器库，不处理低级协议问题。用于处理所有TCP/IP内容，如

1. IP碎片
2. TCP重传
3. 分组重排序

我建议您的代码与利伯尼集成，后者模拟Linux2.0.x的IP堆栈。并提供IP碎片整理、TCP流组装和审查贾斯特尼弗作为实现。