基于机器学习的网络入侵检测系统数据集V2

基于机器学习（ML）的网络入侵检测系统（NIDS）已经成为保护网络免受网络攻击的一个有前途的工具。大量的数据集是公开的，在研究界被用于开发和评估大量的基于 ML 的 NIDS。然而，由于这些 NIDS 数据集具有非常不同的特征集，目前很难在不同的数据集中可靠地比较 ML 模型，因此也很难将它们推广到不同的网络环境和攻击场景。评估基于 ML 的 NIDS 的能力有限，这导致了广泛的学术研究和现实世界网络中的实际部署之间的差距。

通过提供五个基于 NetFlow 的具有共同的、实际相关的特征集的 NIDS 数据集来解决这一限制。这些数据集是由以下四个现有的基准 NIDS 数据集生成的 ——

• UNSW-NB15

• BoT-IoT，

• ToN-IoT，

• CSE-CIC-IDS2018

我们使用了这些数据集的原始数据包捕获文件，并将其转换为 NetFlow 格式，具有共同的特征集。使用 NetFlow 作为通用格式的好处包括它的实际意义，它在生产网络中的广泛部署，以及它的扩展特性。生成的 NetFlow 数据集已被标记为二进制和多类流量和攻击分类实验。同时，昆士兰大学最新发布的 NFV2 集合中的一个数据集，NetFlow的特征集已经从 8 个扩展到 43 个，包括 ——

• IPv4源地址

• IPv4目的地址

• IPv4源端口号

• IPv4目的端口号

• IP协议标识符字节

• 第7层协议(数字)

• 输入字节数

• 输出字节数

• 入包数

• 出包数

• 流持续时间(毫秒)

• 所有TCP标志的累积

• 所有客户端TCP标志的累积

• 所有服务器TCP标志的累积

• 客户端到服务器流持续时间(msec)

• 客户端到服务器流持续时间(msec)

• 最小流量TTL

• 最大流量TTL

• 流中最长的包(字节)

• 流中最短的包(字节)

• 观察到的最小流量IP包的Len

• 观测到的最大流量IP包的Len

• Src to dst字节/秒

• Dst到src字节/秒

• 重传TCP流字节数(src->dst)

• 重传的TCP流报文数(src->dst)

• 重传TCP流字节数(dst->src)

• 重传TCP流报文数(dst->src)

• Src到dst平均thpt (bps)

• Dst到src平均thpt (bps)

• IP大小<= 128的报文

• IP大小为> 128且<= 256的报文

• IP大小为> 256且<= 512的报文

• IP大小为> 512且<= 1024的报文

• IP大小为>1024且<= 1514的报文

• 最大TCP窗口(src->dst)

• 最大TCP窗口(dst->src)

• ICMP类型* 256 + ICMP码

• ICMP类型

• DNS查询事务Id

• DNS查询类型(例如1=A, 2=NS..)

• 第一个A记录的TTL(如果有)

• FTP客户端命令返回码

其目的旨在实现网络安全数据集的标准化，以实现互操作性和更大的分析。

https://link.springer.com/chapter/10.1007/978-3-030-72802-1_9

欢迎通过微信搜索【跨象乘云】公众号（kxcy_ai）或扫描下方二维码，关注后发送关键字【230408】，免费获取基于机器学习的网络入侵检测系统数据集。跨象乘云™ 原创实验演示视频内全部代码、数据集仅授权予个人用户学习与实验使用。禁止用于二次销售、分发传播、课堂教学及培训用途。校企用户采购请通过公众号菜单【了解我们】->【商务咨询】联系。