¿Cuál es su opinión sobre el uso de los conjuntos de datos de tráfico de red DARPA / KDD para la detección de intrusiones hoy en día?

En primer lugar, creo que son obsoletos. Han pasado 18 años desde que fueron liberados. En ese momento apenas conocíamos Google, y mucho menos Facebook, Twitter y otras aplicaciones. Hacen que cambie la forma en que las personas usan las aplicaciones de red. Por lo tanto, el tráfico normal ya no está bien representado.

Los ataques a los sistemas informáticos también han evolucionado. En 1999, no teníamos heartbleed, krack o blueborne. Además, los ataques en el conjunto de datos DARPA fueron simulados, lo que plantea la cuestión de si son lo suficientemente realistas.

También resultó que los ataques en DARPA 99 tienen un valor TTL específico que puede hacer que alguien pueda detectar esos ataques mirando solo el TTL.

KDD 99 se derivó del conjunto de datos DARPA 98. Así que creo que es peor que DARPA 99, pero muchos investigadores lo han usado en exceso. Si busca en Google Scholar, algunos artículos publicados en 2017 todavía lo usan. Y si se mira más profundamente, esos documentos no se publicaron en una conferencia / revista de seguridad de alto rango. Aunque algunos lograron entrar en una conferencia / revista de ciencias de la computación genérica / aprendizaje automático.

Hay varios trabajos académicos que criticaron la calidad de KDD99. Agregaré la referencia a ellos más tarde. La mayoría de las críticas van al aspecto poco realista del conjunto de datos.

Si está buscando conjuntos de datos alternativos disponibles públicamente, diría que ISCX IDS 2012 o UNSW NB-15 están más actualizados. También veo que algunos documentos generaron su propio conjunto de datos de tráfico de red ejecutando exploits disponibles públicamente (u otro tipo de ataques) y capturando el tráfico.

TL; DR;

Recomiendo no usar esos conjuntos de datos, porque son obsoletos y no realistas.

Related Content

¿Cuál es el método para conectar servidor a servidor con Java?

¿Cuál es la forma más fácil y menos costosa de extender el WiFi a todas las habitaciones de mi casa?

¿Cómo podemos usar la computación en la nube?

¿Cuál es la forma más fácil de alejar los puertos Ethernet de cable de mi módem?

¿Cómo se comparan los diferentes tipos de medios de red?

Esta publicación lo explica mejor:

¿Cómo derivar las características KDD99 del archivo DARPA pcap?

Frans Botes

Puede usar el siguiente software:

AI-IDS / kdd99_feature_extractor

Frans Botes

More Interesting

¿Cuáles son algunas de las principales ventajas y desventajas de la seguridad de la red?

¿Con qué frecuencia el NIC actualizó el HOSTS.TXT original?

¿Cuáles son los mejores servicios de VPN para 2015?

¿Qué significa el enrutamiento?

¿Qué es una analogía que la mayoría de nosotros podemos entender con los 'protocolos de enrutamiento'?

¿Cuál es la mejor VPN más rápida y barata?

¿Qué se entiende por topología de red junto con diferentes modelos de red?

¿Hay alguna diferencia de tiempo de ping entre VDSL y fibra óptica?

¿Cómo se beneficia una empresa de telecomunicaciones de la implementación local del servidor web, el servidor DNS, el servidor de archivos y el servidor de correo electrónico?

¿Cuáles son las tareas más comunes para un ingeniero de redes?

Si quisieras conectar una ciudad entera con una red Wi-Fi, ¿qué enrutadores usarías? ¿Cuánta área pueden alcanzar los enrutadores?

¿De qué depende físicamente una conexión de red? Si la tierra explotara, ¿qué pasaría con Internet?

¿El conmutador SDN OpenFlow por funcionalidad es más igual al enrutador o conmutador básico?

¿Por qué no todas las tarjetas de interfaz de red funcionan con un solo controlador genérico?

¿Pueden los marcos ser parte de paquetes en redes?