发布的IDS/IPS评估数据集

Question

我正在寻找由研究人员或自由职业者发表的数据集，可用于IDS/IPS测试和评估。数据集可以用于端口扫描、DoS攻击、远程到本地攻击、用户到根攻击或所有这些攻击。越大越好。

DARPA入侵检测评估数据集上的一些内容将完全符合我的需要。(http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/index.html)

Answer 1

有一些pcap跟踪的存储库。有些有恶意软件的痕迹，端口扫描等等。然后，您可以使用tcpreplay重放这些跟踪。

• http://www.pcapr.net/browse?q=malware
• https://www.evilfingers.com/repository/pcaps.php
• http://www.caida.org/data/passive/ddos-20070804_dataset.xml < DDOS。

Answer 2

对于帮助评估IDS / IPS系统的数据集，我建议您执行以下操作：

• ISCX 2012数据集，2010年收集，作为KDDCup99的替代品。该数据集具有网络数据包过滤(NPF)属性；它不包括KDDCup99 99‘S，更广泛的SIEM测井系统数据。幸运的是，它被贴上标签。
• ITOC 2009数据集增加了NPF和审核日志数据，但是没有标签。使用Snort对其进行评估存在一些工作。

KDDCup99的其他替代品也在那里，比如NSL，参见Quora链接答案。

至于Web测试数据集，正如Schroeder所提到的，这里有一个：

• CSIC 2010数据集是一个HTTP渗透测试数据集，用于异常检测，并由ISI CSIC在2010年创建

Answer 3

你看过Metasploit的vSploit吗？您在网络中设置了一个vSploit服务器，然后在外部设置了一个vSploit客户机。它是为了执行您正在寻找的测试类型而设计的，尽管我不知道完整的通信量是否像您正在寻找的那样全面。

我很想知道你怎么看待他们的数据集！