- MIT LL DARPA
该研究共模拟了 5 大类网络攻击:
1.Denial-Of-Service(DOS):非法企图中断或干扰主机或网络的正常运行;
2.Remote to Local(R2L):远程非授权用户非法获得本地主机的用户特权;
3.User to Root(U2R):本地非授权用户非法获取本地超级用户或管理员的特权;
4.Surveillance or probe(Probe):非法扫描主机或网络,寻找漏洞、搜索系统配置或网络拓扑;
5.Date Compromise(data):非法访问或修改本地或远程主机的数据。
下载地址:http://users.cis.fiu.edu/~lpeng/Datasets_detail.html也包含了很多常见的入侵检测数据集。
2.NSL-KDD、KDD99
KDD99数据集,有dos,u2r,r21,probe等类型的攻击,和普通的正常的流量。
Normal:正常记录
DOS:拒绝服务攻击
PROBE:监视和其他探测活动
R2L:来自远程机器的非法访问
U2R:普通用户对本地超级用户特权的非法访问
NSL-KDD数据集是KDD 99数据集的改进,(1)NSL-KDD数据集的训练集中不包含冗余记录,所以分类器不会偏向更频繁的记录;
(2)NSL-KDD数据集的测试集中没有重复的记录,使得检测率更为准确。
(3)来自每个难度级别组的所选记录的数量与原始KDD数据集中的记录的百分比成反比。结果,不同机器学习方法的分类率在更宽的范围内变化,这使得对不同学习技术的准确评估更有效。
(4)训练和测试中的记录数量设置是合理的,这使得在整套实验上运行实验成本低廉而无需随机选择一小部分。因此,不同研究工作的评估结果将是一致的和可比较的。
KDD99下载:
KDD Cup 1999 Data
kdd.ics.uci.edu/databases/kddcup99/kddcup99.html
NSL-KDD下载:
NSL-KDD
NSL-KDD
3.CIC-IDS-2017和CIC-IDS-2018
加拿大通信安全机构(CSE)和网络安全研究院(CIC)合作并公布了入侵检测数据集CIC-IDS-2017和CIC-IDS-2018。
CIC-IDS-2017和CIC-IDS-2018使用CICFlowMeter提取80多个网络流特征。其中包含了6个基本特征和70多个功能特征。但由于特征提取的工具CICFlowMeter版本不同,CIC-IDS-2017比CIC-IDS-2018少了一个功能特征。但是数据集的数据极度的不平衡。使用时还得对数据进行不平衡处理。
基于HTTP,HTTPS,FTP,SSH,邮件协议构造了25个抽象的用户行为。(模拟真实网络背景)
攻击包含Brute Force FTP,Brute Force SSH, DoS, Heartbleed(OpenSSL缺陷), Web Attack,Infiltration(渗透), Botnet(僵尸网络) 和 DDos 8 种。
数据集官网:https://www.unb.ca
CIC-IDS-2017下载:CIC-IDS-2017(需要先注册)
CIC-IDS-2018下载:
飞桨AI Studio - 人工智能学习与实训社区
aistudio.baidu.com/aistudio/datasetdetail/60692
(由于官方提供的在AWS上下载较慢,提供了飞桨上的数据集)
4、UNSW-NB15
数据集中一共包含了9种攻击:Fuzzers, Analysis, Backdoors, DoS, Exploits, Generic, Reconnaissance, Shellcode and Worms.
数据集进行了训练集和测试集的分割。
数据集官网:The UNSW-NB15 Dataset Description
数据集下载:UNSW-NB15