端口扫描分为哪几类?原理是什么?_端口扫描分组

hacker|
193

局域网查看工具(LanSee)怎么用啊?只能查IP和计算机名,发消息,远程控制都不行的。这是为什么?该这么做

局域网管理工具

局域网内的管理软件,今天上网找了下,发现还是中国人写的比较多,而且功能也越来越强大。

原理都是安装winpcap,使网卡工作在混杂模式下,然后进行相应的操作。

说不定什么时候会用到,把看到的介绍都转过来吧。都没有测试。

1. AnyView( *** 警) *** 监控系统

软件简介:

是一款企业级的 *** 监控软件。一机安装即可监控、记录、控制局域网内其他计算机的上网行为。用于防止单位重要资料机密文件等的泄密;监督审查限制 *** 使用行为;备份重要 *** 资源文件。主要功能有:

一、 *** 行为和内容监视:

包括:网站浏览监视、邮件收发监视、聊天行为监视、游戏行为监视、FTP监视、流量监视、自定义监视;

(1)AnyView能实时记录局域网内所有用户浏览过的网页(包括网页标题、网页内容、所属网站、网页大小等),并以网页快照的形式供管理者查看;

(2)AnyView能实时记录局域网内所有收发的邮件(包括POP3/ *** TP协议和HTTP协议的邮件),同时检测并记录其所用的IP地址、收发时间、标题、收件人/发件人、附件、内容及邮件大小等信息。

(3)AnyView能实时监控局域网用户对各类聊天工具的使用情况,能检查出在线用户所使用的聊天工具、上下线时间等信息,并保存。

(4)AnyView能实时记录网内所有用户通过FTP协议上传下载的文件(服务地址以及内容)

(5)AnyView能监视所有 *** 游戏行为,并可以自己定义需要监视的 *** 游戏;

(6)AnyView能监视用户即时流量,历史流量分析和流量排行

(7)AnyView能自定义被监视的 *** 应用,比如 *** 、股票软件、FLASHGET等

二、通用的、全系列、整 *** 、自定义、端口级的上网行为控制

包括:网站浏览控制、邮件收发控制、聊天行为控制、游戏行为控制、自定义行为控制、端口级控制;所有的控制都可针对3层对象(一个 *** 、一个分组、一个电脑);都可针对指定的时段;都可针对指定的协议TCP/UDP;可通用的自由定义;全系列端口级别管理;

(1)可禁止浏览所有网站、只允许浏览指定网站(白名单)、禁止浏览指定网站(黑名单)

(2)可禁止收发邮件、只允许收发指定邮局(白名单)、禁止手法指定邮局(黑名单)

(3)可禁止所有的聊天行为(比如 *** 、MSN、ICQ、YAHOO、UC、POPO、E话通等),并可以自行增加聊天行为控制列表;

(4)可禁止所有的 *** 游戏(比如联众、中国游戏中心等等);并可以自行增加 *** 游戏行为控制列表;

(5)可禁止自定义控制列表,比如股票软件、 *** 软件等;并发起阻断;

(6)可进行严格的UDP/TCP整个 *** 段的全系列端口级别的控制,并支持黑名单和白名单功能;

三、内容过滤功能

包括:对不需要的监视的象和行为进行过滤,忽略监视;可针对3种对象操作(一个 *** 、一个分组、一个电脑);

(1)全部监视、不监视、只监视部分应用

(2)网站过滤白名单和黑名单功能

四、IP和MAC绑定

包括:禁止MAC地址修改、禁止所有IP地址修改、禁止部分IP地址修改;有效防止非法用户访问 *** 资源;

五、用户管理

包括:分组增加删除、用户名修改、锁定分组刷新、监视对象设置

(1)自动搜索局域网内的电脑,并自动解析出机器名,默认以MAC地址区分用户

(2)允许建立分组并允许刷新分组;方便管理以及权限控制;

(3)允许用户名修改,方便识别和管理,分组权限移动后自然继承新分组权限;

六、其他功能。

(1)采用C/S管理模式,支持分级权限管理。AnyView支持服务器和客户端程序分开,支持多客户连接,允许对不同控制台赋予不同的监控权限。如果是有固定外部IP,可以远程管理和查看;

(2)跨平台监控;被监控电脑也可以是Unix 、Linux 等其他操作系统;

(3)不需要在被监视和管理电脑上安装任何软件,一机运行,整网管理;

(4)支持拦截监视内容和配置文件的的备份、恢复;支持无限多个IP网段监视

(5)采用连接密码管理禁止非法用户连接,采用控制台密码管理禁止非法用户查看;

(6)引擎作为系统服务运行在后台(如IIS一样),不需要登陆和用户干预就可监控;

(7)脱机浏览监视数据功能,附带自动检测连接设备是否HUB的功能;

(8)正式版安装以后,同一网段内,其他机器上的试用版不能正常运行。

2、局域网助手

LanHelper(中文名称“局域网助手”)是Windows平台上强大的局域网管理、扫描、监视工具。LanHelper独特的强力 *** 扫描引擎可以扫描到您所需要的信息,使用可扩展和开放的XML管理扫描数据,具有远程 *** 唤醒、远程关机、远程重启、远程执行、发送消息等功能,能够5。同时不需要服务端软件,节省您的时间和金钱,使您的 *** 管理更加轻松和安全。

LanHelper能扫描到远程计算机非常丰富的各种信息,包括了名称(NetBIOS名或者DNS名)、IP地址、MAC地址、工作组名、用户名称、操作系统类型、服务器类型、备注、共享文件夹、隐藏共享、共享打印机、共享文件夹的属性(是否可写、只读或者密码保护等)、共享备注等,而且由于使用了多线程,每秒钟最快可以扫描上百台计算机。扫描引擎集成的扫描共享文件夹是否可写、只读、密码保护等属性为LanHelper独有的特性,其中扫描可写共享对于预防和协助清除像尼姆达这样难于根除的蠕虫病毒非常有用。

不需要额外安装任何服务端程序,使用LanHelper可以大大简化您的 *** 管理。“远程唤醒”可以给位于局域网、广域网或者因特网上的计算机发送唤醒命令而使其自动加电启动,可以定时。“远程关机”让系统管理员能够通过 *** 关闭或者重新启动远程计算机,可以定时。“远程执行”使您可以在远程机器统上执行命令,运行程序或者打开文件,比如使远程机器启动信使服务,或者只是播放一首MP3歌曲等,执行专门设计的“LanHelper集成命令”则可以轻松让远程机器完成关机、锁定、截取屏幕、获取系统信息、窗口管理、进程管理等等各种操作。“刷新状态” 可用于定时监视 *** ,查看计算机是否在线,以及检测计算机名或者IP地址是否有改动,当指定的事件发生时能够以电子邮件等方式通知管理员。“发送消息”功能可以用非常灵活的方式给用户、计算机、工作组或者整个局域网发送消息。

扫描数据的保存使用XML,在LanHelper后续版本甚至以前版本中都可以使用。即使没有LanHelper,保存的XML文件可以使用IE 浏览器或者其他像MS OFFICE 2002这样支持XML的软件打开。当使用浏览器打开XML文件时,使用XSL编写的样式表文件LHstyle.xsl会将其转换为网页表格,非常便于查看。

3、Easy网管

全面管理局域网内计算机:1.Internet流量监测;2.Internet带宽监测与控制;3.Internet流量日志,实时记录局域网内计算机的 Internet流量、流速和带宽占用情况;4.限制可以上网计算机;5.限制访问网站;6.限制上网时间,为一个星期内每天规定不同的上网时间限制; 7.监视网内计算机收发邮件,保留邮件摘要副本;8.规定哪些计算机可以使用 *** 、在什么时间可以使用 *** ;9.控制使用各种聊天软件,包括 *** 、MSN Messenger、YAHOO通等;10.远程"任务管理器",实时监测其他计算机运行程序,杀死进程;11.锁其他计算机键盘、鼠标和禁止屏幕保护; 12.遥控其他Log Off;13.遥控其他计算机关闭电源Power Off;14.遥控其他计算机重新启动Reboot;15.远程截取工作站屏幕;16.控制运行“联众”等各种 *** 游戏和各种单机游戏程序;17.控制和管理局域网内计算机上运行程序;18.自动扫描局域网内IP节点,包括 *** 、工作组、 *** 打印机、计算机,自动获得IP地址、MAC地址、机器名称、共享目录;19.适合通过 *** 服务器、路由器、专线等各种方式接入Internet环境;20.IP地址与MAC地址进行帮定,限制私自修改IP地址与MAC 地址;21.用户分组管理,每个用户组可以单独分配控制权限;22.自定义 *** 阻断信息。

4、局域网查看工具(LanSee)

采用多线程技术,搜索速度很快。它将局域网上比较实用的功能完美地融合在一起,比如搜索计算机(包括计算机名,IP地址,MAC地址,所在工作组,用户),搜索共享资源,搜索共享文件,多线程复制文件(支持断点传输),发短消息,高速端口扫描,捕获指定计算机上的数据包,查看本地计算机上活动的端口, 远程重启/关闭计算机等,功能十分强大。该软件是一款绿色软件,解压后直接打开运行,无需安装。

5、超级网管(SuperLANadmin)

SuperLANadmin的中文名为超级网管,是一款极富个性的 *** 工具,简单易用而功能强大。SuperLANadmin按照“用户至上”的理念开发而成,程序界面友好、操作方式简单直观、功能强大。SuperLANadmin是一款绿色软件,无需安装,在局域网内的任何一台计算机上都可以使用。它可以运行在Windows 98/Me/NT/2000系统中,但是只有在Windows NT/2000下运行时才能获得更佳性能和使用全部功能。 SuperLANadmin可以跨网段扫描。只要您在系统设置-扫描IP段设置项里设置好IP段后,以后系统会自动扫描已经配置好的IP段,由于使用了多线程,扫描速度快,同类软件无法比拟。SuperLANadmin具有强大的扫描能力,能扫描到 *** 上计算机的各种非常有用的信息,包括了计算机的计算机名、工作组名、IP地址、MAC地址、共享文件夹。它还可以实现一些很有用的系统功能:包括远程关机,远程重启,发送消息,搜索共享, *** 流量检测,数据包的检测,端口扫描,活动端口查看,端口进程查看器等。以上功能的操作对象可以是一台计算机,一个用户组,甚至是整个局域网。每个功能的操作方式基本相同,简单易用。 SuperLANadmin具有强大的 *** 管理功能:上网权限(某时间段内可以上网,某时间段内限制上网)。通过分配机器上网权限,管理员就可以很轻松实时监控整个局域网 ,限制用户违规上网。总之,SuperLANadmin就象为您度身量制,让您管理 *** 更轻松。SuperLANadmin的扫描结果保存为文本文件、Excel文件、 Html文件,作为日志使用。

6、 *** 执法官

\" *** 执法官\"是一款局域网管理辅助软件,采用 *** 底层协议,能穿透各客户端防火墙对 *** 中的每一台主机(本文中主机指各种计算机、交换机等配有IP的 *** 设备)进行监控;采用网卡号(MAC)识别用户,可靠性高;软件本身占用 *** 资源少,对 *** 没有不良影响。

软件不需运行于指定的服务器,在网内任一台主机上运行即可有效监控所有本机连接到的 *** (支持多网段监控),主要功能如下:

一、 实时记录上线用户并存档备查

*** 中任一台主机,开机即会被本软件实时检测并记录其网卡号、所用的IP、上线时间、下线时间等信息,该信息自动永久保存,可供查询,查询可依各种条件进行,并支持模糊查询。利用此功能,管理员随时可以知道当前或以前任一时刻任一台主机是否开机、开机多长时间,使用的是哪一个IP、主机名等重要信息;或任一台主机的开机历史。

二、 自动侦测未登记主机接入并报警

管理员登记完或软件自动检测到所有合法的主机后,可在软件中作出设定,拒绝所有未登记的主机接入 *** 。一旦有未登记主机接入,软件会自动将其MAC、 IP、主机名、上下线时段等信息作永久记录,并可采用声音、向指定主机发消息等多种方式报警,还可以根据管理员的设定,自动对该主机采取IP冲突、与关键主机隔离、与 *** 中所有其它主机隔离等控制措施。

三、 限定各主机的IP,防止IP盗用

管理员可对每台主机指定一个IP或一段IP,当该主机采用超出范围的IP时,软件会判定其为\\\\\\\"非法用户\\\\\\\",自动采用管理员事先指定的方式对其进行控制,并将其MAC、IP、主机名作记久记录备查。管理员可事先指定对非法用户实行IP冲突、与关键主机隔离、与其它所有主机隔离等管理方式。

四、 限定各主机的连接时段

管理员可指定每台主机在每天中允许与 *** 连接的时段或不允许与 *** 连接的时段(可指定两个时段,如允许每天8:30-12:00和13:30-17:00 与 *** 连接),并可指定每一用户是否被允许在每个周六、周日与 *** 连接。对违反规定的用户,软件判其为非法用户,自动记录并采用管理员事先指定的方式进行管理。管理方式同样可为IP冲突、与关键主机隔离、与其它所有主机隔离等。

总之,本软件的主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与 *** 中某些主机或整个 *** 隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了 *** 安全性。管理员只需依据实际情况,设置各主机的权限及违反权限后的管理方式,即可实现某些具体的功能,如禁止某些主机在指定的时段访问外网或彻底禁止某些主机访问外网;保护 *** 中关键主机,只允许指定的主机访问等等。

帮忙解释下端口扫描结果

服务TCP端口: 179

服务UDP端口: 88

分组延迟: 250

发现通行证: 1

ICMP协议执行ping的主机发现:有

主机的ICMP超时发现: 2000

TCP连接超时抢夺横幅: 8000

UDP连接超时抢夺横幅: 8000

服务扫描通行证: 1

主机解决通行证: 1

全连接的TCP扫描服务扫描:否

服务扫描TCP连接超时: 4000

服务扫描UDP连接超时: 2000

TCP连接的源端口: 0

的UDP源端口: 0

启用主机名查询:是

----------------

1新机器发现与ICMP协议(欧共体)

TCP连接服务扫描( SYN (179端口) ...

UDP连接服务扫描通过1 1 (88端口) ...

TCP连接旗帜抢夺( 0端口)

UDP连接旗帜抢夺( 0端口)

报告扫描结果...

扫描完成-------- --------

第七章 流量监控与分析工具常用的 *** 流量监测 *** 有几种?分别是什么

所谓 *** 流量分析,是指通过一定的技术手段,实时监测用户 *** 七层结构中各层的流量分布,进行协议、流量的综合分析,从而有效的发现、预防 *** 流量和应用上的瓶颈,为 *** 性能的优化提供依据。通过流量分析帮助管理人员了解到 *** 中哪个用户正在大量的下载或者上传数据,判定出 *** 中是哪个用户在占用了大量的带宽,是由于哪个用户造成了 *** 的缓慢。通过流量分析管理,可以使 *** 管理人员掌握 *** 负载状况,及时发现 *** 结构的不合理,或是 *** 性能瓶颈,根据网内应用及不同业务使用情况,为用户提供高品质的 *** 服务,避免了 *** 带宽和服务器瓶颈问题。通过流量分析管理,可以使 *** 管理人员快速掌握 *** 流量的实时状况,网内应用及不同业务在不同的时间段的使用情况,快速展示某个时间段内的流量概况,帮助管理人员分析 *** 流量的忙闲时。目前市面上的 *** 流量分析软件很多,但是实现方式大致分为三类,通过这三种 *** 流量分析的采集技术,来实现 *** 流量的分析。2、端口镜像(Portmirroring),也叫做端口扫描或端口监控功能,是在很多管理型交换机中的一个功能,其被用在一个 *** 交换机上来发送所有分组的拷贝,在一个交换机端口查看来监控在另一个交换机端口的 *** 连接。也就是把所有的交换机端口的数据,都拷贝一份到这个端口上,所有的数据都进行采集。3、通过协议如netflow或者netstream等。根据需求和采集技术特点选择上述的三种技术,各有各的优点和缺点,其中的 *** 混杂模式,主要用于一个比较小的 *** 中,一般一个小的局域网内使用,比如网吧等,通过这种技术实现的软件比较多,如果sniffer等。缺点也很明显,就是对 *** 带宽的占用比较大。建议在非关键性的小 *** 中使用。另外一种通过端口镜像实现,特点是通过交换机来实现,缺点也比较明显,就是所有的端口的数据都要拷贝一份给监控端口,增加了交换机的负担,比较严重的影响交换机的性能。一般在公司 *** 的出 *** 换机上使用,比如监控公司中人员的互联网连接等。第三种通过思科的netflow协议或者华为的netstream协议,特点是占用 *** 带宽最小,切采集的数据最全,一般用在比较大的企业 *** 中,原理就是交换机本身将通过的数据计数,而不做数据的拷贝。这样,就大大降低了交换机的负担。市面上的软件也比较多,比较重要的厂商如摩卡软件等。下面以摩卡软件的NTA软件来举例说明 *** 流量分析的功能。摩卡软件 *** 流量分析的优势摩卡软件在行业内具有十年的IT运维管理经验,摩卡软件在全国超过23家的大客户现场积累了深厚的应用平台运维管理经验,其中对于 *** 流量监控的优势在于:支持协议种类多:从思科的netflow到华为的netstream,到IPFIX、sflow等都支持。适用的范围比较广:从宏观上监控整个 *** 中的流量,从二层到七层,所有的流量的情况。支持自定义的应用的监控:软件支持自定义的 *** 应用的监控。友好的用户界面:从用户的界面出发,更容易读懂和使用。

什么是需要掌握各种信息安全攻防的技术

*** 是需要掌握各种信息安全攻防的技术的。因为扫描技术是 *** 攻防的一种重要手段,在攻和防当中都有其重要意义。nmap是一个开放源码的 *** 扫描工具,可以查看 *** 系统中有哪些主机在运行以及哪些服务是开放的。namp工具的命令选项:sS用于实现SYN扫描,该扫描类型是通过观察开放端口和关闭端口对探测分组的响应来实现端口扫描的。在 *** 化、信息化时代,无论在国家的经济生活中,还是在国家防务中都需要大量掌握信息对抗技术的专业人才。

基于 *** 的入侵检测数据集研究

摘要:标记数据集是训练和评估基于异常的 *** 入侵检测系统所必需的。本文对基于 *** 的入侵检测数据集进行了重点的文献综述,并对基于包和流的底层 *** 数据进行了详细的描述。本文确定了15种不同的属性来评估单个数据集对特定评估场景的适用性。这些属性涵盖了广泛的标准,并被分为五类,例如用于提供结构化搜索的数据量或记录环境。在此基础上,对现有数据集进行了全面的综述。本综述还强调了每个数据集的特性。此外,本工作还简要介绍了基于 *** 的数据的其他来源,如流量生成器和数据存储库。最后,我们讨论了我们的观察结果,并为使用和创建基于 *** 的数据集提供了一些建议。

一、引言

信息技术安全是一个重要的问题,入侵和内部威胁检测的研究已经投入了大量的精力。在处理与安全相关的数据[1]-[4]、检测僵尸 *** [5]-[8]、端口扫描[9]-[12]、蛮力攻击[13]-[16]等方面已经发表了许多贡献。所有这些工作的共同点是,它们都需要具有代表性的基于 *** 的数据集。此外,基准数据集是评价和比较不同 *** 入侵检测系统(NIDS)质量的良好基础。给定一个带标签的数据集,其中每个数据点都被分配给类normal或attack,可以使用检测到的攻击数量或虚警数量作为评估标准。

不幸的是,没有太多具有代表性的数据集。Sommer和Paxson[17](2010)认为,缺乏具有代表性的公共可用数据集是基于异常的入侵检测面临的更大挑战之一。Malowidzki等人(2015)和Haider等人(2017)也发表了类似的声明。然而,社区正在解决这个问题,因为在过去几年中已经发布了几个入侵检测数据集。其中,澳大利亚 *** 安全中心发布了UNSW-NB15[20]数据集,科堡大学发布了CIDDS-001[21]数据集,新布伦瑞克大学发布了CICIDS 2017[22]数据集。未来还会有更多数据集发布。然而,现有数据集没有全面的索引,很难跟踪最新的发展。

本文对现有的基于 *** 的入侵检测数据集进行了文献综述。首先,对底层数据进行更详细的研究。基于 *** 的数据以基于包或基于流的格式出现。基于流的数据只包含关于 *** 连接的元信息,而基于包的数据也包含有效负载。然后,对文献中常用的评价 *** 数据集质量的不同数据集属性进行了分析和分组。本调查的主要贡献是对基于 *** 的数据集进行了详尽的文献综述,并分析了哪些数据集满足哪些数据集属性。本文重点研究了数据集内的攻击场景,并强调了数据集之间的关系。此外,除了典型的数据集之外,我们还简要介绍了流量生成器和数据存储库作为 *** 流量的进一步来源,并提供了一些观察和建议。作为主要的好处,本调查建立了一组数据集属性,作为比较可用数据集和确定合适数据集的基础,给出了特定的评估场景。此外,我们创建了一个网站1,其中引用了所有提到的数据集和数据存储库,我们打算更新这个网站。

本文的其余部分组织如下。下一节将讨论相关工作。第三部分详细分析了基于包和流的 *** 数据。第四部分讨论了文献中常用来评价入侵检测数据集质量的典型数据集属性。第五节概述了现有的数据集,并根据第四节确定的属性检查每个数据集。第六节简要介绍了基于 *** 的数据的进一步来源。在本文件以摘要结束之前,第七节讨论了意见和建议。

二、相关工作

本节回顾基于 *** 的入侵检测数据集的相关工作。需要注意的是,本文没有考虑基于主机的入侵检测数据集,比如ADFA[23]。读者可以在Glass-Vanderlan等人的[24]中找到关于基于主机的入侵检测数据的详细信息。

Malowidzki等人[18]将缺失的数据集作为入侵检测的一个重要问题进行了讨论,对好的数据集提出了要求,并列出了可用的数据集。Koch等人的[25]提供了入侵检测数据集的另一个概述,分析了13个数据源,并根据8个数据集属性对它们进行了评估。Nehinbe[26]为IDS和入侵防御系统(IPS)提供了关键的数据集评估。作者研究了来自不同来源的七个数据集(如DARPA数据集和DEFCON数据集),强调了它们的局限性,并提出了创建更真实数据集的 *** 。由于在过去的四年中发布了许多数据集,我们延续了2011年到2015年[18],[25],[26]的工作,但提供了比我们的前辈更最新和更详细的概述。

虽然许多数据集论文(如CIDDS-002[27]、ISCX[28]或UGR ' 16[29])只对一些入侵检测数据集做了一个简要的概述,但Sharafaldin等人对[30]提供了更详尽的综述。他们的主要贡献是一个生成入侵检测数据集的新框架。Sharafaldin等人还分析了11个可用的入侵检测数据集,并根据11个数据集属性对其进行了评估。与早期的数据集论文相比,我们的工作重点是对现有的基于 *** 的数据集提供一个中立的概述,而不是提供一个额外的数据集。

最近的其他论文也涉及到基于 *** 的数据集,但主要关注的焦点有所不同。Bhuyan等人对 *** 异常检测进行了全面的综述。作者描述了现有的9个数据集,并分析了现有异常检测 *** 所使用的数据集。类似地,Nisioti等人的[32]关注于用于入侵检测的无监督 *** ,并简要参考了现有的12个基于 *** 的数据集。Yavanoglu和Aydos[33]分析比较了最常用的入侵检测数据集。然而,他们的审查只包含七个数据集,包括其他数据集,如HTTP CSIC 2010[34]。总而言之,这些作品往往有不同的研究目标,而且只是接触对于基于 *** 的数据集,则略有不同。

三、数据

通常, *** 流量以基于包或基于流的格式捕获。在包级捕获 *** 流量通常是通过镜像 *** 设备上的端口来完成的。基于包的数据包含完整的有效载荷信息。基于流的数据更加聚合,通常只包含来自 *** 连接的元数据。Wheelus等人通过一个说明性的比较强调了这一区别:“捕获包检查和NetFlow之间的一个很好的区别示例是徒步穿越森林,而不是乘坐热气球飞越森林”[35]。在这项工作中,引入了第三类(其他数据)。另一个类别没有标准格式,并且因每个数据集而异。

A基于分组的数据

基于包的数据通常以pcap格式捕获,并包含有效负载。可用的元数据取决于使用的 *** 和传输协议。有许多不同的协议,其中最重要的是TCP、UDP、ICMP和IP。图1显示出了不同的报头。TCP是一种可靠的传输协议,它包含诸如序列号、确认号、TCP标志或校验和值之类的元数据。UDP是一种无连接的传输协议,它的头比TCP小,TCP只包含四个字段,即源端口、目标端口、长度和校验和。与TCP和UDP相比,ICMP是一个包含状态消息的支持协议,因此更小。通常,在报头旁边还有一个可用的IP报头传输协议的。IP报头提供源和目标IP地址等信息,如图1所示。

b .流为基础数据

基于流的 *** 数据是一种更简洁的格式,主要包含关于 *** 连接的元信息。基于流的数据将所有在时间窗口内共享某些属性的包聚合到一个流中,通常不包含任何有效负载。默认的五元组定义,即,源IP地址、源端口、目标IP地址、目标端口和传输协议[37],是一种广泛使用的基于流的数据属性匹配标准。流可以以单向或双向格式出现。单向格式将主机A到主机B之间共享上述属性的所有包聚合到一个流中。从主机B到主机A的所有数据包聚合为另一个单向流。相反,一个双向流总结了主机a和主机B之间的所有数据包,不管它们的方向如何。

典型的基于流的格式有NetFlow[38]、IPFIX[37]、sFlow[39]和OpenFlow[40]。表I概述了基于流的 *** 流量中的典型属性。根据特定的流格式和流导出器,可以提取额外的属性,如每秒字节数、每个包的字节数、之一个包的TCP标志,甚至有效负载的计算熵。

此外,可以使用nfdump2或YAF3之类的工具将基于包的数据转换为基于流的数据(但不是相反)。读者如果对流导出器之间的差异感兴趣,可以在[41]中找到更多细节,并分析不同的流导出器如何影响僵尸 *** 分类。

c .其他数据

这个类别包括所有既不是纯基于包也不是基于流的数据集。这类的一个例子可能是基于流的数据集,这些数据集已经用来自基于包的数据或基于主机的日志文件的附加信息进行了丰富。KDD CUP 1999[42]数据集就是这一类别的一个著名代表。每个数据点都有基于 *** 的属性,比如传输的源字节数或TCP标志的数量,但是也有基于主机的属性,比如失败登录的数量。因此,这个类别的每个数据集都有自己的一组属性。由于每个数据集都必须单独分析,所以我们不对可用属性做任何一般性的说明。

四、数据集属性

为了能够比较不同的入侵检测数据集,并帮助研究人员为其特定的评估场景找到合适的数据集,有必要将公共属性定义为评估基础。因此,我们研究了文献中用于评估入侵检测数据集的典型数据集属性。一般概念FAIR[43]定义了学术数据应该遵循的四个原则实现,即可查找性、可访问性、互操作性和可重用性。在与这个一般概念相一致的同时,本工作使用更详细的数据集属性来提供基于 *** 的入侵检测数据集的重点比较。通常,不同的数据集强调不同的数据集属性。例如,UGR ' 16数据集[29]强调较长的记录时间来捕捉周期效应,而ISCX数据集[28]强调精确的标记。由于我们的目标是研究基于 *** 的入侵检测数据集的更一般的属性,所以我们试图统一和概括文献中使用的属性,而不是采用所有的属性。例如,一些 *** 评估特定类型攻击的存在,比如DoS(拒绝服务)或浏览器注入。某些攻击类型的存在可能是评估这些特定攻击类型的检测 *** 的相关属性,但是对于其他 *** 没有意义。因此,我们使用一般的属性攻击来描述恶意 *** 流量的存在(见表三)。第五节提供了关于数据集中不同攻击类型的更多细节,并讨论了其他特定的属性。

我们不像Haider et al.[19]或Sharafaldin et al.[30]那样开发评估评分,因为我们不想判断不同数据集属性的重要性。我们认为,某些属性的重要性取决于具体的评估场景,不应该在调查中普遍判断。相反,应该让读者能够找到适合他们需要的数据集。因此,我们将下面讨论的数据集属性分为五类,以支持系统搜索。图2总结了所有数据集属性及其值范围。

A.一般资料

以下四个属性反映了关于数据集的一般信息,即创建年份、可用性、正常 *** 流量和恶意 *** 流量的存在。

1)创建年份:由于 *** 流量受概念漂移影响,每天都会出现新的攻击场景,因此入侵检测数据集的年龄起着重要作用。此属性描述创建年份。与数据集发布的年份相比,捕获数据集的底层 *** 流量的年份与数据集的最新程度更相关。

2)公共可用性:入侵检测数据集应公开可用,作为比较不同入侵检测 *** 的依据。此外,数据集的质量只能由第三方检查,如果它们是公开可用的。表III包含此属性的三个不同特征:yes, o.r. (on request)和no。On request是指在向作者或负责人发送消息后授予访问权限。

3)正常用户行为:此属性指示数据集中正常用户行为的可用性,并接受yes或no值。值yes表示数据集中存在正常的用户行为,但它不声明是否存在攻击。一般来说,入侵检测系统的质量主要取决于其攻击检测率和误报率。此外,正常用户行为的存在对于评估IDS是必不可少的。然而,缺少正常的用户行为并不会使数据集不可用,而是表明它必须与其他数据集或真实世界的 *** 流量合并。这样的合并步骤通常称为覆盖或盐化[44]、[45]。

4)攻击流量:IDS数据集应包含各种攻击场景。此属性指示数据集中是否存在恶意 *** 通信,如果数据集中至少包含一次攻击,则该属性的值为yes。表四提供了关于特定攻击类型的附加信息。

B.数据的性质

此类别的属性描述数据集的格式和元信息的存在。

1)元数据:第三方很难对基于包和基于流的 *** 流量进行内容相关的解释。因此,数据集应该与元数据一起提供关于 *** 结构、IP地址、攻击场景等的附加信息。此属性指示附加元数据的存在。

2)格式: *** 入侵检测数据集以不同的格式出现。我们大致将它们分为三种格式(参见第三节)。(1)基于分组的 *** 流量(例如pcap)包含带负载的 *** 流量。(2)基于流的 *** 流量(如NetFlow)只包含关于 *** 连接的元信息。(3)其他类型的数据集可能包含基于流的跟踪,带有来自基于包的数据甚至来自基于主机的日志文件的附加属性。

3)匿名性:由于隐私原因,入侵检测数据集往往不会公开,或者只能以匿名的形式提供。此属性指示数据是否匿名以及哪些属性受到影响。表III中的none值表示没有执行匿名化。值yes (IPs)表示IP地址要么被匿名化,要么从数据集中删除。同样,值yes (payload)表示有效负载信息被匿名化,要么从基于分组的 *** 流量中删除。

C.数据量

此类别中的属性根据容量和持续时间描述数据集。

1) Count:属性Count将数据集的大小描述为包含的包/流/点的数量或物理大小(GB)。

2)持续时间:数据集应涵盖较长时间内的 *** 流量,以捕捉周期性影响(如白天与夜晚或工作日与周末)[29]。属性持续时间提供每个数据集的记录时间。

D.记录环境

此类别中的属性描述捕获数据集的 *** 环境和条件。

1)流量类型:描述 *** 流量的三种可能来源:真实的、模拟的或合成的。Real是指在有效的 *** 环境中捕获真实的 *** 流量。仿真的意思是在测试床或仿真 *** 环境中捕获真实的 *** 流量。综合意味着 *** 流量是综合创建的(例如,通过一个流量生成器),而不是由一个真实的(或虚拟的) *** 设备捕获的。

2) *** 类型:中小企业的 *** 环境与互联网服务提供商(ISP)有着本质的区别。因此,不同的环境需要不同的安全系统,评估数据集应该适应特定的环境。此属性描述创建相应数据集的基础 *** 环境。

3)完整 *** :该属性采用Sharafaldin等人的[30],表示数据集是否包含来自具有多个主机、路由器等 *** 环境的完整 *** 流量。如果数据集只包含来自单个主机(例如蜜罐)的 *** 流量,或者只包含来自 *** 流量的一些协议(例如独占SSH流量),则将值设置为no。

E.评价

以下特性与使用基于 *** 的数据集评估入侵检测 *** 有关。更精确地说,这些属性表示预定义子集的可用性、数据集的平衡和标签的存在。

1)预定义的分割:有时,即使在相同的数据集上对不同的IDS进行评估,也很难对它们的质量进行比较。在这种情况下,必须明确是否使用相同的子集进行训练和评估。如果数据集附带用于训练和评估的预定义子集,则此属性提供信息。

2)均衡:基于异常的入侵检测通常采用机器学习和数据挖掘 *** 。在这些 *** 的训练阶段(例如,决策树分类器),数据集应该与其类标签相平衡。因此,数据集应该包含来自每个类(normal和attack)的相同数量的数据点。然而,真实世界的 *** 流量是不平衡的,它包含了比攻击流量更多的正常用户行为。此属性指示数据集是否与其类标签相平衡。在使用数据挖掘算法之前,应该通过适当的预处理来平衡不平衡的数据集。他和Garcia[46]提供了从不平衡数据中学习的良好概述。

3)带标签:带标签的数据集是训练监督 *** 、评估监督和非监督入侵检测 *** 所必需的。此属性表示是否标记了数据集。如果至少有两个类normal和attack,则将此属性设置为yes。此属性中可能的值为:yes, yes with BG。(yes with background)、yes (IDS)、indirect和no。是的,有背景意味着有第三类背景。属于类背景的包、流或数据点可以是正常的,也可以是攻击。Yes (IDS)是指使用某种入侵检测系统来创建数据集的标签。数据集的一些标签可能是错误的,因为IDS可能不完美。间接意味着数据集没有显式标签,但是可以通过其他日志文件自己创建标签。

五、数据集

我们认为,在搜索足够的基于 *** 的数据集时,标记的数据集属性和格式是最决定性的属性。入侵检测 *** (监督的或非监督的)决定是否需要标签以及需要哪种类型的数据(包、流或其他)。因此,表II提供了关于这两个属性的所有研究的基于 *** 的数据集的分类。表三给出了关于第四节数据集属性的基于 *** 的入侵检测数据集的更详细概述。在搜索基于 *** 的数据集时,特定攻击场景的存在是一个重要方面。因此,表III显示了攻击流量的存在,而表IV提供了数据集中特定攻击的详细信息。关于数据集的论文描述了不同抽象级别的攻击。例如,Vasudevan等人在他们的数据集中(SSENET- 2011)将攻击流量描述为:“Nmap、Nessus、Angry IP scanner、Port scanner、Metaploit、Backtrack OS、LOIC等是参与者用来发起攻击的一些攻击工具。”相比之下,Ring等人在他们的CIDDS-002数据集[27]中指定了执行端口扫描的数量和不同类型。因此,攻击描述的抽象级别可能在表四中有所不同。对所有攻击类型的详细描述超出了本文的范围。相反,我们推荐感兴趣的读者阅读Anwar等人的开放存取论文“从入侵检测到入侵响应系统:基础、需求和未来方向”。此外,一些数据集是其他数据集的修改或组合。图3显示了几个已知数据集之间的相互关系。

基于 *** 的数据集,按字母顺序排列

AWID [49]。AWID是一个公共可用的数据集4,主要针对802.11 *** 。它的创建者使用了一个小型 *** 环境(11个客户机),并以基于包的格式捕获了WLAN流量。在一个小时内,捕获了3700万个数据包。从每个数据包中提取156个属性。恶意 *** 流量是通过对802.11 *** 执行16次特定攻击而产生的。AWID被标记为一个训练子集和一个测试子集。

Booters[50]。Booters是罪犯提供的分布式拒绝服务(DDoS)攻击。Santanna et. al[50]发布了一个数据集,其中包括九种不同的启动程序攻击的跟踪,这些攻击针对 *** 环境中的一个空路由IP地址执行。结果数据集以基于分组的格式记录,包含超过250GB的 *** 流量。单独的包没有标记,但是不同的Booters攻击被分成不同的文件。数据集是公开可用的,但是出于隐私原因,booters的名称是匿名的。

僵尸 *** [5]。僵尸 *** 数据集是现有数据集的组合,可以公开使用。僵尸 *** 的创建者使用了[44]的叠加 *** 来组合ISOT[57]、ISCX 2012[28]和CTU-13[3]数据集的(部分)。结果数据集包含各种僵尸 *** 和正常用户行为。僵尸 *** 数据集被划分为5.3 GB训练子集和8.5 GB测试子集,都是基于包的格式。

CIC DoS[51]。CIC DoS是加拿大 *** 安全研究所的一组数据,可以公开使用。作者的意图是创建一个带有应用层DoS攻击的入侵检测数据集。因此,作者在应用层上执行了8种不同的DoS攻击。将生成的跟踪结果与ISCX 2012[28]数据集的无攻击流量相结合生成正常的用户行为。生成的数据集是基于分组的格式,包含24小时的 *** 流量。

CICIDS 2017 [22]。CICIDS 2017是在模拟环境中历时5天创建的,包含基于分组和双向流格式的 *** 流量。对于每个流,作者提取了80多个属性,并提供了关于IP地址和攻击的附加元数据。正常的用户行为是通过脚本执行的。数据集包含了多种攻击类型,比如SSH蛮力、heartbleed、僵尸 *** 、DoS、DDoS、web和渗透攻击。CICIDS 2017是公开可用的。

cidds - 001 [21]。CIDDS-001数据集是在2017年模拟的小型商业环境中捕获的,包含为期四周的基于单向流的 *** 流量,并附带详细的技术报告和附加信息。该数据集的特点是包含了一个在互联网上受到攻击的外部服务器。与蜜罐不同,来自模拟环境的客户机也经常使用此服务器。正常和恶意的用户行为是通过在GitHub9上公开可用的python脚本执行的。这些脚本允许不断生成新的数据集,并可用于其他研究。CIDDS-001数据集是公开可用的,包含SSH蛮力、DoS和端口扫描攻击,以及从野外捕获的一些攻击。

cidds - 002 [27]。CIDDS-002是基于CIDDS-001脚本创建的端口扫描数据集。该数据集包含两个星期的基于单向流的 *** 流量,位于模拟的小型业务环境中。CIDDS-002包含正常的用户行为以及广泛的不同端口扫描攻击。技术报告提供了关于外部IP地址匿名化的数据集的附加元信息。数据集是公开可用的。

0条大神的评论

发表评论