CTU-13数据集源网址:https://mcfp.weebly.com/the-ctu-13-dataset-a-labeled-dataset-with-botnet-normal-and-background-traffic.html
CTU-13数据集。一个含有僵尸网络流量、正常流量和背景流量的且已标记的数据集。
CTU-13是2011年位于捷克共和国的捷克理工大学(CTU)捕获的僵尸网络流量数据集。数据集的目标是对混杂正常流量和背景流量的真实的僵尸网络流量进行大规模捕获。CTU-13数据集包含13个不同的僵尸网络样本捕获(也叫场景)。在每个场景我们执行一个特定的恶意软件,它使用了某些协议并且执行了不同的操作。表2展示了僵尸网络场景的特征。
每个场景捕获到一个pcap文件中,文件包含3种流量类型的数据包。对这些pcap文件进行处理来获取其他类型的信息,如NetFlows(单向网络流),WebLogs(网络日志),等等。对CTU-13数据集的第一次分析,在论文“An empirical comparison of botnet detection methods”中描述和发表。该论文用单向网络流来表示流量并且给流量赋予标签。单向网络流不应该被使用,因为我们第二篇数据集分析使用了双向网络流,效果超过了单向网络流。双向网络流与单向网络流相比有一些优点。首先,他们解决了区分客户端和服务器的问题;第二,他们包含了更多的信息。第三,他们包含更多详细的标签。使用双向网络流对数据集的第二个分析是在这里发布的。
场景的持续时间、数据包的数量、网络流的数量和pcap文件的大小,这些因素之间的关系如表3所示。这个表也展示了用于创建捕获文件的恶意软件和每个场景中感染的电脑数量。
CTU-13数据集的独特之处是我们手动的分析和标记了每个场景。标记过程是在网络流文件中完成的。表4展示了每个场景中标记为“背景”、“僵尸网络”、“C&C通道”和“正常”标签的数量关系。
文件类型及下载
对数据集中的每个场景进行处理以获得不同文件。为了隐私问题,包含所有背景、正常和僵尸网络数据的完整pcap文件是不可用的。然而,剩下的文件是可用的。每个场景包含:
- 仅用于僵尸网络捕获的pcap文件。
- 所有流量的双向网络流文件(用Argus生成的),包含标签。文件扩展名为.biargus。
- 原始的可执行文件。
CTU-13数据集可以作为一个包含所有文件的大tar文件下载,也可以逐个下载。如果你单独的访问每个捕获,牢记双向网络流文件在detailed-bidirectional-flow-labels文件夹内。
在这你可以下载包含所有数据集的大文件:CTU-13-Dataset.tar.bz2(1.9GB)
下面,你也可以单独访问每个场景:
- CTU-Malware-Capture-Botnet-42
- CTU-Malware-Capture-Botnet-43
- CTU-Malware-Capture-Botnet-44
- CTU-Malware-Capture-Botnet-45
- CTU-Malware-Capture-Botnet-46
- CTU-Malware-Capture-Botnet-47
- CTU-Malware-Capture-Botnet-48
- CTU-Malware-Capture-Botnet-49
- CTU-Malware-Capture-Botnet-50
- CTU-Malware-Capture-Botnet-51
- CTU-Malware-Capture-Botnet-52
- CTU-Malware-Capture-Botnet-53
- CTU-Malware-Capture-Botnet-54
备份下载
万一主网站下载宕机了,你可以尝试下载这里。然而牢记主网站是最权威的副本。
引用
为了引用数据库,请引用论文“An empirical comparison of botnet detection methods" Sebastian Garcia, Martin Grill, Honza Stiborek and Alejandro Zunino. Computers and Security Journal, Elsevier. 2014. Vol 45