The 1999 DARPA IDS data set was col

1999 DARPA ID dữ liệu thiết lập được thu thập tại MIT Lincoln Labs để đánh giá hệ thống phát hiện xâm nhập. Tất cả mạng lưới giao thông bao gồm toàn bộ tải trọng của mỗi gói tin được ghi lại ở định dạng tcpdump và cung cấp đánh giá. Ngoài ra, còn có Nhật ký kiểm tra, hàng ngày tập tin hệ thống bãi và bản ghi BSM (Solaris hệ thống gọi). Các dữ liệu bao gồm ba tuần đào tạo dữ liệu và hai tuần của dữ liệu thử nghiệm. Trong dữ liệu đào tạo có được hai tuần tấn công miễn phí dữ liệu và dữ liệu với một tuần gắn nhãn cuộc tấn công. Số liệu này đã được sử dụng trong nhiều nghiên cứu những nỗ lực và kết quả của cuộc thử nghiệm đối với dữ liệu này đã được báo cáo trong nhiều ấn phẩm. Mặc dù có những vấn đề do tính chất của môi trường mô phỏng tạo dữ liệu, nó vẫn còn một bộ các dữ liệu để so sánh các kỹ thuật hữu ích. Đầu trang kết quả đã được báo cáo bởi [39]. Trong thử nghiệm của chúng tôi về tải trọng bất thường phát hiện chúng tôi chỉ sử dụng bên trong mạng dữ liệu giao thông mà bị bắt giữa router và các nạn nhân. Vì khu vực đặt các ứng dụng trên Internet sử dụng TCP (web, email, telnet và ftp), và để làm giảm sự phức tạp của thử nghiệm, chúng tôi chỉ kiểm tra trong nước lưu thông TCP đến cổng 0-1023 của 172.016.xxx.xxx máy chủ chứa hầu hết các nạn nhân, và các cảng 0-1023 nằm trên một phần của dịch vụ mạng. Đối với các dữ liệu DARPA 99, chúng tôi tiến hành thí nghiệm bằng cách sử dụng mỗi gói như là đơn vị dữ liệu và mỗi kết nối như là đơn vị dữ liệu. Chúng tôi sử dụng tcptrace để tái tạo lại các kết nối TCP từ các gói dữ liệu mạng trong các tập tin tcpdump. Chúng tôi cũng đã thử ý tưởng của "trọng tải cắt ngắn", cả hai đều cho mỗi gói tin và mỗi kết nối. Cho các gói dữ liệu cắt ngắn, chúng tôi đã cố gắng N byte đầu tiên và byte đuôi N riêng, N là tham số. Bằng cách sử dụng cắt bớt trọng tải tiết kiệm đáng kể tính toán thời gian và không gian. Chúng tôi báo cáo các kết quả cho mỗi của các mô hình này. Chúng tôi đào tạo mô hình phân phối tải trọng trên số liệu DARPA sử dụng tuần 1 (5 ngày, tấn công miễn phí) và tuần 3 (7 ngày, tấn công miễn phí), sau đó đánh giá các máy dò trên tuần 4 và 5, chứa 201 trường hợp của các cuộc tấn công khác nhau 58, 177 trong đó có thể nhìn thấy ở bên trong tcpdump dữ liệu. Bởi vì chúng tôi giới hạn các nạn nhân IP và port range, có 14 người khác chúng ta bỏ qua trong thử nghiệm này. Trong thử nghiệm này, chúng tôi tập trung vào lưu thông TCP only, do đó, các cuộc tấn công bằng cách sử dụng UDP, ICMP, ARP (giao thức phân giải địa chỉ) và IP chỉ không thể phát hiện. Chúng bao gồm: smurf (ICMP echo-reply flood), ping-của-cái chết (ngoại cỡ ping túi), UDPstorm, arppoison (corrupts ARP cache mục của nạn nhân), selfping, ipsweep, teardrop (MIS-phân mảnh gói UDP). Cũng bởi vì chúng tôi mô hình tải trọng tính từ chỉ trọng phần của gói tin mạng, các cuộc tấn công mà không chứa bất kỳ tải trọng là không thể phát hiện với phát hiện bất thường được đề nghị. Vì vậy, không có ở tất cả các cuộc tấn công 97 để được phát hiện bởi mô hình tải trọng của chúng tôi trong tuần 4 và 5 đánh giá dữ liệu. Sau khi lọc không có ở tất cả các gói dữ liệu 2,444,591, và 49556 các kết nối, với chiều dài nonzero dữ liệu để đánh giá. Chúng tôi xây dựng một mô hình cho mỗi chiều dài trọng quan sát thấy trong dữ liệu đào tạo cho mỗi cổng giữa 0-1023 và cho mỗi máy chủ. Các yếu tố làm mịn được thiết lập để 0,001 đó sẽ cho kết quả tốt nhất cho số liệu này (xem các cuộc thảo luận trong phần 3.2). Điều này giúp tránh phù hợp hơn và làm giảm tỷ lệ sai tích cực. Cũng vì có một số lượng không đầy đủ các ví dụ huấn luyện trong dữ liệu DARPA99, chúng tôi áp dụng clustering để các mô hình miêu tả trước đó. Cụm các mô hình của nước láng giềng chiều dài thùng có nghĩa là tương tự như các mô hình có thể cung cấp dữ liệu đào tạo nhiều hơn cho một mô hình có dữ liệu đào tạo là quá thưa thớt do đó làm cho nó ít nhạy cảm và chính xác hơn.

1999 DARPA IDS tập hợp dữ liệu được thu thập tại MIT Lincoln Labs để đánh giá các hệ thống phát hiện xâm nhập. Tất cả lưu lượng mạng bao gồm toàn bộ tải trọng của mỗi gói được ghi ở định dạng tcpdump và cung cấp để đánh giá. Ngoài ra, cũng có bản ghi kiểm toán, bãi tập tin hệ thống hàng ngày, và BSM (Solaris hệ thống gọi) các bản ghi. Các dữ liệu bao gồm ba tuần của dữ liệu huấn luyện và hai tuần của dữ liệu thử nghiệm. Trong dữ liệu huấn luyện có hai tuần của dữ liệu tấn công miễn phí và một tuần của dữ liệu với các cuộc tấn công có nhãn. Bộ dữ liệu này đã được sử dụng trong nhiều nỗ lực nghiên cứu và kết quả kiểm tra đối với các dữ liệu này đã được báo cáo trong nhiều ấn phẩm. Mặc dù có những vấn đề do bản chất của môi trường mô phỏng đó tạo ra các dữ liệu, nó vẫn còn là một tập hợp hữu ích của dữ liệu để so sánh kỹ thuật. Các kết quả trên đã được báo cáo bởi [39]. Trong thí nghiệm của chúng tôi trong việc phát hiện tải trọng bất thường chúng tôi chỉ sử dụng các dữ liệu lưu lượng mạng bên trong đó đã bị bắt giữa các bộ định tuyến và các nạn nhân. Bởi vì hầu hết các ứng dụng nào về việc sử dụng Internet TCP (web, email, telnet, và ftp), và để giảm bớt sự phức tạp của các thử nghiệm, chúng tôi chỉ kiểm tra lưu lượng TCP đến với các cảng 0-1023 của host 172.016.xxx.xxx trong đó có chứa hầu hết các nạn nhân, và cổng 0-1023 trong đó bao gồm phần lớn các dịch vụ mạng. Đối với các dữ liệu 99 DARPA, chúng tôi tiến hành thí nghiệm sử dụng mỗi gói như các đơn vị dữ liệu và mỗi kết nối như các đơn vị dữ liệu. Chúng tôi sử dụng tcptrace để tái tạo lại các kết nối TCP từ các gói mạng trong các tập tin tcpdump. Chúng tôi cũng đã thử nghiệm ý tưởng "trọng tải cắt ngắn", cả hai cho mỗi gói dữ liệu và mỗi kết nối. Đối với gói cắt ngắn, chúng tôi đã cố gắng N byte đầu tiên và các byte đuôi N riêng biệt, trong đó N là một tham số. Sử dụng tải trọng cắt ngắn giúp tiết kiệm thời gian tính toán đáng kể và không gian. Chúng tôi báo cáo kết quả cho từng mô hình này. Chúng tôi đào tạo các mô hình phân phối tải trọng trên các số liệu DARPA sử dụng tuần 1 (5 ngày, tấn công miễn phí) và tuần 3 (7 ngày, tấn công miễn phí), sau đó đánh giá những phát hiện trên tuần 4 và 5, trong đó có chứa 201 trường hợp của 58 cuộc tấn công khác nhau, 177 trong số đó có thể nhìn thấy trong các dữ liệu tcpdump bên trong. Bởi vì chúng ta hạn chế IP và port phạm vi của các nạn nhân, có 14 người khác chúng ta bỏ qua trong thử nghiệm này. Trong thí nghiệm này, chúng tôi tập trung vào chỉ lưu lượng TCP, vì vậy các cuộc tấn công chỉ sử dụng UDP, ICMP, ARP (giao thức phân giải địa chỉ) và IP có thể không được phát hiện. Chúng bao gồm: Smurf (ICMP echo-reply lũ), ping-of-chết (quá cỡ gói tin ping), UDPstorm, arppoison (hư ARP mục cache của nạn nhân), selfping, ipsweep, teardrop (mis-phân mảnh gói tin UDP) . Cũng bởi vì mô hình tải trọng của chúng tôi là tính từ chỉ có một phần payload của gói tin mạng, những cuộc tấn công mà không chứa bất kỳ tải trọng là không thể phát hiện bằng máy dò bất thường được đề xuất. Như vậy, có tổng cộng 97 cuộc tấn công được phát hiện bởi mô hình tải trọng của chúng tôi trong tuần 4 và 5 dữ liệu đánh giá. Sau khi lọc có tổng cộng 2.444.591 gói, và 49.556 kết nối, với trọng tải khác không dài để đánh giá. Chúng tôi xây dựng một mô hình cho mỗi payload length quan sát thấy trong dữ liệu huấn luyện cho mỗi cổng giữa 0-1023 và cho tất cả các máy chủ. Các yếu tố làm mịn được thiết lập để 0.001 mà cho kết quả tốt nhất cho tập dữ liệu này (xem thảo luận trong mục 3.2). Điều này giúp tránh sự phù hợp và làm giảm tỷ lệ dương tính giả. Ngoài ra do có một số lượng không đầy đủ các ví dụ huấn luyện trong các dữ liệu DARPA99, chúng tôi áp dụng để phân nhóm các mô hình như mô tả trước đây. Clustering các mô hình của thùng dài láng giềng có nghĩa là mô hình tương tự có thể cung cấp dữ liệu huấn luyện nhiều hơn cho một mô hình có dữ liệu huấn luyện là quá thưa thớt do đó làm cho nó ít nhạy cảm và chính xác hơn.