基于機器學習（ML）的網(wǎng)絡入侵檢測系統(tǒng)（NIDS）已經(jīng)成為保護網(wǎng)絡免受網(wǎng)絡攻擊的一個有前途的工具。大量的數(shù)據(jù)集是公開的，在研究界被用于開發(fā)和評估大量的基于 ML 的 NIDS。然而，由于這些 NIDS 數(shù)據(jù)集具有非常不同的特征集，目前很難在不同的數(shù)據(jù)集中可靠地比較 ML 模型，因此也很難將它們推廣到不同的網(wǎng)絡環(huán)境和攻擊場景。評估基于 ML 的 NIDS 的能力有限，這導致了廣泛的學術研究和現(xiàn)實世界網(wǎng)絡中的實際部署之間的差距。

通過提供五個基于 NetFlow 的具有共同的、實際相關的特征集的 NIDS 數(shù)據(jù)集來解決這一限制。這些數(shù)據(jù)集是由以下四個現(xiàn)有的基準 NIDS 數(shù)據(jù)集生成的 ——

• UNSW-NB15

• BoT-IoT，

• ToN-IoT，

• CSE-CIC-IDS2018

我們使用了這些數(shù)據(jù)集的原始數(shù)據(jù)包捕獲文件，并將其轉(zhuǎn)換為 NetFlow 格式，具有共同的特征集。使用 NetFlow 作為通用格式的好處包括它的實際意義，它在生產(chǎn)網(wǎng)絡中的廣泛部署，以及它的擴展特性。生成的 NetFlow 數(shù)據(jù)集已被標記為二進制和多類流量和攻擊分類實驗。同時，昆士蘭大學最新發(fā)布的 NFV2 集合中的一個數(shù)據(jù)集，NetFlow的特征集已經(jīng)從?8?個擴展到?43?個，包括 ——

• IPv4源地址

• IPv4目的地址

• IPv4源端口號

• IPv4目的端口號

• IP協(xié)議標識符字節(jié)

• 第7層協(xié)議(數(shù)字)

• 輸入字節(jié)數(shù)

• 輸出字節(jié)數(shù)

• 入包數(shù)

• 出包數(shù)

• 流持續(xù)時間(毫秒)

• 所有TCP標志的累積

• 所有客戶端TCP標志的累積

• 所有服務器TCP標志的累積

• 客戶端到服務器流持續(xù)時間(msec)

• 客戶端到服務器流持續(xù)時間(msec)

• 最小流量TTL

• 最大流量TTL

• 流中最長的包(字節(jié))

• 流中最短的包(字節(jié))

• 觀察到的最小流量IP包的Len

• 觀測到的最大流量IP包的Len

• Src to dst字節(jié)/秒

• Dst到src字節(jié)/秒

• 重傳TCP流字節(jié)數(shù)(src->dst)

• 重傳的TCP流報文數(shù)(src->dst)

• 重傳TCP流字節(jié)數(shù)(dst->src)

• 重傳TCP流報文數(shù)(dst->src)

• Src到dst平均thpt (bps)

• Dst到src平均thpt (bps)

• IP大小<= 128的報文

• IP大小為> 128且<= 256的報文

• IP大小為> 256且<= 512的報文

• IP大小為> 512且<= 1024的報文

• IP大小為>1024且<= 1514的報文

• 最大TCP窗口(src->dst)

• 最大TCP窗口(dst->src)

• ICMP類型* 256 + ICMP碼

• ICMP類型

• DNS查詢事務Id

• DNS查詢類型(例如1=A, 2=NS..)

• 第一個A記錄的TTL(如果有)

• FTP客戶端命令返回碼

其目的旨在實現(xiàn)網(wǎng)絡安全數(shù)據(jù)集的標準化，以實現(xiàn)互操作性和更大的分析。

https://link.springer.com/chapter/10.1007/978-3-030-72802-1_9

歡迎通過微信搜索【跨象乘云】公眾號（kxcy_ai）或掃描下方二維碼，關注后發(fā)送關鍵字【230408】，免費獲取基于機器學習的網(wǎng)絡入侵檢測系統(tǒng)數(shù)據(jù)集?？缦蟪嗽? 原創(chuàng)實驗演示視頻內(nèi)全部代碼、數(shù)據(jù)集僅授權予個人用戶學習與實驗使用。禁止用于二次銷售、分發(fā)傳播、課堂教學及培訓用途。校企用戶采購請通過公眾號菜單【了解我們】->【商務咨詢】聯(lián)系。??