黑客在信息收集階段會利用以下公開協議或工具:
SNMP:用來查閱網絡系統路由器的路由表,從而了解目標主機所在網絡的拓撲結構及其內部細節。
TraceRoute程序:能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數。
Whois協議:該協議的服務信息能提供所有有關的DNS域和相關的管理參數。
DNS服務器:該服務器提供了系統中可以訪問的主機的IP地址表和它們所對應的主機名。⑤ Finger協議:用來獲取一個指定主機上的所有用戶的詳細信息,如用戶注冊名、電話號碼、最后注冊時間以及他們有沒有讀郵件等。
Ping實用程序:可以用來確定一個指定主機的位置。
自動Wardialing軟件:可以向目標站點一次連續撥出大批電話號碼,直到遇到某一正確的號碼使其MODEM響應。
安全運營技術體系建設包括以下方面:
安全可視化:安全可視化支持對資產態勢、脆弱性安全態勢、數據安全態勢、安全事件態勢、攻擊態勢、安全防護態勢、威脅態勢進行多維度深度分析。
資產態勢:平臺支持基于資產信息數據,按照區域、類型、重要程度等,結合資產安全事件、漏洞信息進行多維深度分析,形成資產類型分布、數量對比、資產弱點、資產健康度、資產風險分布等分析數據,并支持無碼化、可拖曳的視圖態勢展示。資產態勢感知通過資產卡片形式實時監控重大保障活動中的關鍵資產,利用標簽切換不同的活動資產分組,及時發現并處置風險資產,保障用戶業務的可持續平穩運行。
脆弱性安全態勢:脆弱性安全態勢基于漏洞和配置核查信息,結合應用系統、區域資產等基礎數據,進行多維度分析,從資產、業務系統、組織架構、責任人等視角,給出漏洞與資產的全面關聯分析,形成在不同系統和資產上的脆弱性分布、高危漏洞及排名等分析數據,并且支持無碼化、可拖曳的態勢展示。
數據安全態勢:數據安全態勢包括管理、校驗、調整數據自動分級規則及其學習優化策略,將自動分級規則統一下發到各數據處理技術系統,包括數據鑒權、敏感數據檢查等,結合數據分類標記制定各處理系統上的敏感數據識別與防護策略;同時,對各處理系統上發現的敏感數據態勢、違規情況、異常行為情況及風險進行統一展示和分析,并將各系統上的分級識別結果反饋給數據自動分級規則學習流程,不斷迭代優化數據分級規則。
安全事件態勢:平臺支持按照安全事件時間段從事件級別、區域分布、事件類型等方面對公安信息網中發生的安全事件進行多維深度分析,形成不同區域事件分布對比、安全事件發展趨勢等分析數據,并支持無碼化、可拖曳的視圖態勢展示。外部攻擊態勢主要關注來自全世界不同地區的安全事件,實時監控不同攻擊源的地域分布和國家排行,掌握各攻擊鏈階段的威脅變化趨勢和最新安全事件。
攻擊態勢:平臺支持基于公安信息網中的流量信息、訪問行為信息、事件分布信息等進行多維深度分析,形成包括攻擊主體、攻擊事件類型、攻擊行為異常趨勢、操作對象和處置狀態等的分析數據,并支持無碼化、可拖曳的視圖態勢展示。
安全防護態勢:平臺支持基于安全防護引擎、安全防護策略、安全防護對象、安全事件處置情況等數據進行多維度分析;能夠形成安全防護引擎分布、攔截阻斷記錄、網絡帶寬、事件處置進度等分析數據,并支持無碼化、可拖曳的視圖態勢展示。
vPC網絡的基本組成包括以下四個部分:
vPC對等交換機:交換機SW1和SW2作為對等交換機,通過對等鏈路連接,它們構成了一個vPC的單一邏輯終端。這些設備需要運行NX-OS(一款基于數據中心的操作系統)才能運行vPC協議。
vPC對等鏈路:這是兩個vPC對等交換機間的多端口萬兆以太網端口信道鏈路。該鏈路是一個標準的IEEE 802.3ad端口信道,修改生成樹協議權值后能夠使用對等鏈路將數據包標記為從本地對等設備發出。
vPC對等設備保持激活鏈路:這是一條通常運行在帶外管理網絡上的邏輯鏈路。它提供一條三層通信協議,能用作輔助測試,以確定遠程對等設備是否正確運行,且不通過vPC對等設備保持激活鏈路和發送任何數據或同步流量,而是只發送一個表示原始交換機正在運行vPC的幀。
vPC成員端口:這是一個物理端口,位于屬于vPC成員的某一vPC對等交換機上。為運行vPC實例,應至少與每個對等交換機上的一個成員端口建立有一條端口信道連接。
模糊測試技術存在的主要問題如下:
測試自動化程度低需要人工干預。大部分工具在模糊數據的生成以及對被測對象檢測結果分析等過程都需要人工參與,自動化程度不高。例如,Wfuzz等工具需要測試人員提供正常請求并對其中需要模糊化的變量進行標記才能生成一系列模糊數據。
檢測的漏洞類型較少。一些工具只能對少數幾種特定類型的安全漏洞進行模糊測試。例如,WebFuzz等工具只能檢測Web 應用系統中的SQL 注入和XSS等類型的安全漏洞,漏洞發掘能力有限。
漏洞檢測的漏報率和誤報率高。一些工具的模糊數據生成以及漏洞檢測方法較為簡單,造成測試結果中漏洞的漏報率和誤報率比較高。例如,WebFuzz等工具只是通過在原始請求中簡單地插入攻擊載荷的方式來生成模糊數據,在漏洞檢測上也只是簡單地查找返回的Web 網頁中是否存在特定的內容。
工具的可擴展性較差。例如,WebFuzz 等工具在設計上均存在耦合程度高、可擴展性差等問題,對新漏洞類型的擴展比較困難。
測試結果的展示不夠直觀。大部分工具在測試結果的展示上都不夠直觀,有的甚至僅提供模糊測試的執行日志,如WSFuzzer、Wfuzz 等,需要人工對數百條記錄進行分析來確定其中的哪些測試數據引發了被測對象的安全漏洞。
常用的端口掃描技術如下:
TCP connect()掃描:這是最基本的TCP掃描。操作系統提供的connect()系統調用,用來與每一個感興趣的目標計算機的端口進行連接。如果端口處于偵聽狀態,那么connect()就能成功。否則,這個端口是不能用的,即沒有提供服務。這個技術的最大優點是,不需要任何權限,系統中的任何用戶都有權利使用這個調用。另一個優勢就是速度。如果對每個目標端口以線性的方式,使用單獨的 connect()調用,那么花費的時間就相當長。可以通過同時打開多個套接字,從而加速掃描。使用非阻塞 I/O 允許用戶設置一個低的時間用盡周期,同時觀察多個套接字。但這種方法的缺點是很容易被發覺,并且被過濾掉。目標計算機的logs文件會顯示一連串的連接和連接是出錯的服務消息,并且能很快地使它關閉。
TCP SYN掃描:這種技術通常認為是“半開放”掃描,這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發送的是一個SYN數據包,好像準備打開一個實際的連接并等待反應一樣(與TCP的3次握手建立一個 TCP 連接的過程類似)。一個 SYN|ACK 的返回信息表示端口處于偵聽狀態。一個 RST返回,表示端口沒有處于偵聽態。如果收到一個SYN|ACK,則掃描程序必須再發送一個RST信號,來關閉這個連接過程。這種掃描技術的優點在于一般不會在目標計算機上留下記錄。但這種方法的一個缺點是,必須要有root權限才能建立自己的SYN數據包。
TCP FIN掃描:有的時候有可能SYN掃描都不夠秘密。一些防火墻和包過濾器會對一些指定的端口進行監視,有的程序能檢測到這些掃描。相反,FIN數據包可能會沒有任何麻煩地通過。這種掃描方法的思想是關閉的端口會用適當的RST來回復FIN數據包。另一方面,打開的端口會忽略對FIN數據包的回復。這種方法和系統的實現有一定的關系。有的系統不管端口是否打開,都回復 RST,這樣,這種掃描方法就不適用了。并且這種方法在區分Unix和NT時,是十分有用的。
IP段掃描:這種方法不直接發送 TCP 探測數據包,是將數據包分成兩個較小的 IP 段。這樣就將一個 TCP頭分成好幾個數據包,從而過濾器就很難探測到,但必須小心,一些程序在處理這些小數據包時會有些麻煩。
TCP反向ident掃描:ident協議允許使用者看到通過TCP連接的計算機的用戶名,即使這個連接不是由這個進程開始的。例如,連接到http端口,然后用ident來發現服務器是否正在以root權限運行。這種方法只能在和目標端口建立了一個完整的TCP連接后才能看到。
FTP返回攻擊:FTP協議的一個有趣的特點是它支持代理(Proxy)FTP連接。即入侵者可以從自己的計算機和目標主機之間建立一個FTP的連接,然后請求這個連接激活一個有效的數據傳輸進程來給因特網上任何地方發送文件。利用這種方法是從一個代理的FTP服務器來掃描TCP端口。這樣就能在一個防火墻后面連接到一個FTP服務器,然后掃描端口。如果FTP服務器允許從一個目錄讀寫數據的話,使用者就能發送任意的數據到發現的打開的端口。
UDP ICMP端口不能到達掃描:這種方法與上面幾種方法的不同之處在于使用的是UDP協議。由于這個協議很簡單,所以掃描變得相對比較困難。這是由于打開的端口對掃描探測并不發送一個確認,關閉的端口也并不需要發送一個錯誤數據包。因特網上許多主機在接收到一個未打開的UDP端口發送一個數據包時,就會返回一個ICMP_PORT_UNREACH錯誤。這樣就能發現哪個端口是關閉的。UDP和ICMP錯誤都不保證能到達,因此這種掃描器必須還實現在一個包看上去是丟失的時候能重新傳輸。這種掃描方法是很慢的并且這種掃描方法需要具有root權限。
UDP recvfrom()和write()掃描:當非root用戶不能直接讀到端口不能到達錯誤時,Linux能間接地在它們到達時通知用戶。例如,對一個關閉的端口的第二個write()調用將失敗。在非阻塞的UDP套接字上調用recvfrom()時,如果ICMP出錯還沒有到達時會返回EAGAIN-重試。如果ICMP到達時,返回ECONNREFUSED-連接被拒絕。這就是用來查看端口是否打開的技術。
ICMP echo掃描:這并不是真正意義上的掃描。但有時通過ping,在判斷在一個網絡上主機是否開機時非常有用。
攻擊者針對web網頁的攻擊手段有以下這些:
網站被“黑”:一種最廣為人知的攻擊方式是網站被“黑”式攻擊。這不僅是因為其結果是可見的,也是因為實施起來比較容易。網站的設計存在缺陷,使得代碼可以下載,這就允許攻擊者能夠獲取全部超文本文檔和在加載進程中與客戶相關的所有程序。攻擊者甚至可以看到編程者在創建或者維護代碼時遺留下來的注解。下載進程實質上為攻擊者提供了一份該網站的規劃圖。
緩沖區溢出:網頁也存在緩沖區溢出問題。攻擊者向一段程序中輸入大量數據,比其預期所要接收的數據多得多;由于緩沖區的大小是有限的,所以過剩的數據就會溢出到相鄰的代碼和數據區域中去。
“../”問題:網頁服務器代碼應該一直在一個受到限制的環境中運行。在理想情況下,網頁服務器上應該沒有編輯器、Xterm和Telnet程序,甚至連絕大多數系統應用程序都不應該安裝。通過這種方式限制了網頁服務器的運行環境以后,即使攻擊者從網頁服務器的應用程序區跳到了別處,也沒有其他可執行程序可以幫助攻擊者使用網頁服務器所在的計算機和操作系統來擴大攻擊的范圍。用于網頁應用程序的代碼和數據可以采用手工方式傳送到網頁服務器。
應用代碼錯誤:用戶的瀏覽器與網頁服務器之間傳遞著一種復雜而且無狀態的協議交換。網頁服務器為了使自己的工作更輕松一些,向用戶傳遞一些上下文字符串,而要求用戶瀏覽器用全部上下文進行應答。一旦用戶可以修改這種上下文內容,就會出現問題。
服務器端包含:一種具有代表性的更嚴重的問題稱為服務器端包含(Server-Side Include)問題。該問題利用了一個事實:網頁中可以自動調用一個特定的函數。例如,很多頁面的最后都顯示了一個“請與我聯系”鏈接,并使用一些Web命令來發送電子郵件消息。這些命令(比如E-mail、if、goto和include等)都被置于某一個區域,以便轉換成HTML語言。
加強網頁服務器使用時安全的措施有以下這些
制定內部數據安全風險管理制度:制定公司內部數據泄露和其他類型的安全風險協議,包括分配不同部門以及人員管理賬號、密碼等權限,定期更新密碼避免被黑客盜取,以及其他可行措施。
及時更新軟件版本:及時更新軟件版本,以避免你的服務器安全處于危險之中,使其漏洞被黑客利用并入侵。使用專業的安全漏洞掃描程序是一種保持軟件實時更新的方式之一。
定期對服務器進行備份:為防止不能預料的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行每周一次的備份。同時,應該將修改過的重要系統文件存放在不同服務器上,如果原始數據不幸損壞、丟失等情況發生時,你可以利用備份數據保證業務正常運行。
定期安全檢測:定期進行安全檢測,確保服務器安全,在非默認端口上設置標準和關鍵服務、保證防火墻處于最佳設置等,定期進行安全掃描,防止病毒入侵。
關閉不需要的服務和端口:服務器操作系統在安裝時,會啟動一些不需要的服務,這樣會占用系統的資源,而且也會增加系統的安全隱患。對于一段時間內完全不會用到的服務器,可以完全關閉。
安裝和設置防火墻:現在有許多基于硬件或軟件的防火墻,很多安全廠商也都推出了相關的產品。對服務器安全而言,安裝防火墻非常必要。這樣進入服務器中的流量都是經常防火墻過濾之后的流量,防火墻內其他的流量直接被隔離出來,防火墻中一定要安裝入侵檢測和入侵防御系統,這樣才能發揮防火墻的最大作用。在安裝防火墻之后,你需要根據自身的網絡環境,對防火墻進行適當的配置以達到最好的防護效果。
安裝網絡殺毒軟件:現在網絡上的病毒非常猖獗,這就需要安裝商業級反惡意軟件和反病毒引擎,對服務器進行實時保護。同時,在網絡殺毒軟件的使用中,必須要定期或及時升級殺毒軟件,并且每天自動更新病毒庫。
監測系統日志:通過運行系統日志程序,系統會記錄下所有用戶使用系統的情形,包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表,通過對報表進行分析,你可以知道是否有異常現象。
接入專業的高防服務:目前DDOS還沒有什么徹底解決的方法,只能通過專業的網絡高防服務進行防御。
安全的vpn方案要滿足以下方面要求:
支持用戶身份驗證:VPN安全方案必須能夠驗證用戶的身份信息,并且只有授權的用戶才能訪問,另外VPN方案還必須提供審計和計費功能,以及日志功能,顯示何人在何時訪問了何種信息。
地址管理功能:VPN方案必須能夠為用戶分配專用網絡上的地址,并且要確保地址的安全性,保證用戶上網安全。
數據加密:對通過公共互聯網傳遞的數據必須進行加密,以確保網絡中為授權的用戶無法對其中的數據信息進行讀取,保證數據的安全。
密鑰管理:VPN方案必須要能夠生成并隨時更新客戶端和服務器的加密密鑰,同時還要保證密鑰的安全管理和傳輸。
多協議支持:安全的VPN方案不能單支持一種協議,必須支持公共互聯網絡上的普遍使用的基本協議,包括IP、IPX等協議。
傳統包過濾防火墻與一般IT防火墻的區別主要有:
傳統包過濾防火墻支持基于白名單策略的訪問控制,包括網絡層和應用層。
傳統包過濾防火墻工業控制協議過濾,應具備深度包檢測功能,支持主流工控協議的格式檢查機制、功能碼與寄存器檢查機制。
傳統包過濾防火墻支持動態開放OPC協議端口。
傳統包過濾防火墻應支持多種工作模式,保證防火墻的區分部署和工作過程,以實現對被防護系統的最小影響。例如,學習模式:防火墻記錄運行過程中經過它的所有策略、資產等信息,形成白名單策略集;驗證模式或測試模式:該模式下防火墻對白名單策略外的行為做告警,但不攔截;工作模式:該模式為防火墻的正常工作模式,嚴格按照防護策略進行過濾等動作保護。
傳統包過濾防火墻應具有高可靠性,包括故障自恢復、在一定負荷下72小時正常運行、無風扇、支持導軌式或機架式安裝等。
強身份驗證方式有以下這些:
安全問題:添加一些安全問題作為額外的身份驗證,是比較簡單的一種方法。過去,安全問題主要用于密碼重置,它們設置起來很簡單,但也很容易被黑客入侵或被盜。
動態一次性密碼 ( OTP ): 通過動態 OTP 口令驗證比安全問題更安全,因為它使用二級身份驗證類別,是在密碼之外增加一個他們常用的設備來驗證。比較常見的包括:短信/郵箱驗證碼,或者是兼容第三方身份驗證器如 Google Authenticator、Microsoft Authenticator 等,操作簡單,方便快捷。
專門的身份驗證應用程序:用戶通過與智能手機上的應用程序交互來驗證自己的身份,例如 Authing 的小程序認證,通過將 Authing 移動令牌驗證器集成至微信小程序,不僅快捷友好,同時增強安全性。
物理身份驗證密鑰:身份驗證過程由非對稱加密算法保護,私鑰永遠不會離開設備,例如銀行的 U 盾。
生物識別技術:目前在安全領域被廣泛應用,比較難被破解,但生物識別技術也帶來了挑戰和隱私問題。與密碼不同,您無法更改您的指紋、虹膜或視網膜。此外,實施此技術,有可能需要增加對專門生物識別設備的投入。
基于挑戰-響應的安全協議:一個數據庫向另一個數據庫發送一個挑戰,接收者必須用適當的答案進行響應。所有通信在傳輸過程中都經過加密,因此黑客無法入侵或操縱。聽起來很復雜,實際上發送者和接收者在幾秒內即可完成通信。
移動存儲設備存在的安全隱患:
體積小、易丟失:移動存儲介質由于體積小、重量輕,更容易丟失,而移動介質本身往往沒有任何防護措施,一旦丟失或被盜,就會造成大量信息外泄。
信息失效:作為檔案資料保管的存儲介質如果保管不善,很容易造成存儲介質不能讀取,信息不能復用,失去電子檔案的保存價值。
病毒危害:在使用過程中使用者往往忽視對移動設備的查殺毒工作,由于移動設備使用范圍較廣,不可避免地會出現在外使用時感染計算機病毒的情況,如果不能及時有效地查殺病毒,輕易將染毒文件在單位內計算機打開,很容易將病毒傳播到單位內部網中,影響到單位內計算機的應用操作。
“擺渡”技術的威脅:如果病毒僅僅是破壞系統還不會造成泄密,但一旦與“擺渡”技術結合,其危害就十分嚴重,該類木馬病毒會搜索本地的文件夾并通過因特網向指定的服務器發送數據,使物理隔離的內網與因特網之間有了連接的渠道。
公私混用:由于U盤等移動存儲設備體積較小,海量存儲,便于攜帶,使用方便,因此,不少人將U盤等隨時攜帶并在不同的環境下使用,造成單位的資料和個人的資料混雜在一起,不便于管理,容易出現使用上的差錯,當移動存儲體被借用時,存儲在移動存儲體中的一些重要信息資料存在泄露的風險。
管理困難:有效的移動設備管理監督機制保密機構的缺少和人員的缺乏,難以適應計算機及信息技術發展工作的新要求,對移動設備管理缺乏可資借鑒的管理經驗,對設備的信息安全檢查不到位,往往形成“感覺上重要而行動上卻無從下手”的管理空白。
對策與建議:
對移動存儲介質的信息安全管理,仍應堅持“預防為主”的方針,以人為本,充分利用技術和管理2種手段,達到有效防范信息失密的目的。
加強保密知識和職業道德教育:提高全員個人綜合素質,使全體員工在心目中樹立“哪些是可以做的、哪些是不應該做的、哪些是需要防范的”的理念,從思想上筑起一道信息安全風險防范的“防火墻”。
開展安全知識培訓:提高安全防范能力,對操作人員可以用網上攻擊案例教育大家,使其充分了解計算機網絡存在的安全隱患,提高工作人員的安全保密意識和自我防范能力。
數據加密:對移動介質上的信息進行加密處理,必須通過解密程序或密碼才能將其打開,以解決數據的存儲問題,實現信息的保密。
授權使用:只允許授權過的移動介質在內部計算機上使用,未授權的移動介質在內部計算機上不可以使用,這樣,解決了載體的身份問題,實現訪問控制。
使用監控:對企圖使用未授權移動介質的行為進行監控,對使用過程中的讀、寫、復制等進行監控,以解決介質的使用問題,實現安全審計。
訪問控制包括以下三大要素:
主體(Subject):是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。
客體(Object):是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體,也可以是網絡上硬件設施、無限通信中的終端,甚至可以包含另外一個客體。
控制策略(Attribution):是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。
《中華人民共和國網絡安全法》第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第五十九條 網絡運營者不履行本法第二十一條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
Reaver的原理是它利用了WiFi保護設置(WiFi Protected Setup - 下文中簡稱為WPS)的一個弱點,WPS是許多路由器上都有的一個功能,可以為用戶提供簡單的配置過程,它與設備中硬編碼保存的一個PIN碼綁定在一起。Reaver利用的就是PIN碼的一個缺陷,最終的結果就是,只要有足夠的時間,它就能破解WPA或WPA2的密碼。
Reaver的常用命令如下:
-i 監聽后接口名稱
-b 目標mac地址
-a 自動檢測目標AP最佳配置
-S 使用最小的DH key,可以提高PJ速度
-vv 顯示更多的非嚴重警告
-d 即delay每窮舉一次的閑置時間 預設為1秒
-c 頻道
-p PIN碼四位或八位 //可以用8位直接找到密碼。公司申請等保測評機構的單位應該具備這些條件:
在中華人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;
產權關系明晰,注冊資金 500 萬元以上,獨立經營核算,無違法違規記錄;
從事網絡安全服務兩年以上,具備一定的網絡安全檢測評估能力;
法人、主要負責人、測評人員僅限中華人民共和國境內的中國公民,且無犯罪記錄;
具有網絡安全相關工作經歷的技術和管理人員不少于 15 人,專職滲透測試人員不少于 2 人,崗位職責清晰,且人員相對穩定;
具有固定的辦公場所,配備滿足測評業務需要的檢測評估工具、實驗環境等;
具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度;
不涉及網絡安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務(自用除外);
應具備的其他條件。
常見的入侵檢測數據集有:
Darpa 是一個由源 IP 和目標 IP 之間的通信組成的數據集。該數據集包含 IP 之間的不同攻擊。1998 年 DARPA 入侵檢測評估分為兩個部分:離線評估和實時評估。
KDD CUP 99數據集是1999年KDD CUP競賽使用的數據。
KDD99數據集是由DARPA98數據集經過數據挖掘和預處理后得到的。但KDD99與DARPA98并不是一一對應的,Wende Lee等人在處理原始連接數據時將部分重復數據去除,例如進行DoS攻擊時產生大量相同的連接記錄,就只取攻擊過程中5分鐘內的連接記錄作為該攻擊類型的數據集。同時,也會隨機抽取正常(normal)數據連接作為正常數據集。
NSL-KDD 是一個數據集,建議用于解決中提到的 KDD’99 數據集的一些固有問題。雖然,這個新版本的 KDD 數據集仍然存在 McHugh 討論的一些問題,可能不能完美代表現有的真實網絡,但由于缺乏基于網絡的 IDS 的公共數據集,我們相信它仍然可以作為一個有效的基準數據集來幫助研究人員比較不同的入侵檢測方法。
UNSW-NB 15 數據集的原始網絡數據包是由新南威爾士大學堪培拉網絡靶場實驗室的 IXIA PerfectStorm 工具創建的,用于生成真實現代正常活動和合成當代攻擊行為的混合體。tcpdump 工具用于捕獲 100 GB 的原始流量(例如 Pcap 文件)。該數據集有九種類型的攻擊,即 Fuzzers、Analysis、Backdoors、DoS、Exploits、Generic、Reconnaissance、Shellcode 和 Worms。使用 Argus、Bro-IDS 工具并開發了 12 種算法以生成帶有類別標簽的總共 49 個特征。
