資料集設定

在過往的異常入侵偵測系統研究中，主要是以 Kddcup’99 資料集為主要的研 究資料，由於其乃是 1999 年由 SIGKDD（ACM Special Interest Group on Knowledge Discovery and Data Mining）組織所舉辦的一次公開競賽實驗用資料，

並且是由麻省理工學院林肯實驗室（MIT Lincoln）模擬美國空軍的軍事網路環 境之 DARPA’98 資料集為基礎，資料集具備公信力且廣泛使用於眾多研究文獻 中，但基於本研究主要以探索異常入侵偵測系統之新特徵為主，而新特徵並不內 含於 Kddcup’99 資料集中，因此我們將另實作一新特徵資料集來驗證提出的新特 徵可行性，而原始 Kddcup’99 資料集則用於區別分析 9 特徵的訓練模組中，以偵 測實際攻擊的發生。

資料集的製作設計裡，我們以每天 3 次，一次收一小時，一共兩天，分為早 上、下午、晚上三個時段，實際收集實驗室所接收之外部封包流量，包含攻擊之 異常連線，來實作訓練資料（Train Data），而測試資料（Test Data）則設定每天 3 次，一次收半小時，也分為早上、下午、晚上三個時段。

訓練資料使用 2 種 DoS 攻擊及 1 種 Probe 攻擊，測試資料使用 4 種 DoS 攻 擊及 2 種 Probe 攻擊，測試資料由於使用於測試訓練資料，一般都將設定較少的 資料筆數及較多之攻擊類型，以判斷資料集用於衡量入侵偵測系統對於偵測未知 或是新型攻擊時之效能應用。而在原始 Kddcup’99 資料集裡一共採用了 4 種攻擊 類型 DoS、Probe、U2R、R2L，由於我們目前實驗是以網路型入侵偵測系統收集 網路封包為主，對於 U2R，R2L 以主機型入侵偵測系統的攻擊並無選用，主要 實作於網路環境中。

3.4.1 攻擊工具

在攻擊工具的挑選中，主要以 DoS 及 Probe 攻擊為主，並且需可於 Kddcup’99 的區別分析 9 特徵可偵測出之攻擊為主要考量挑選方式，此乃因若原始 9 特徵即 無法偵測之攻擊，將於加入新特徵後的偵測測試中，缺乏衡量參考比較之依據，

經實際測試近 50 種攻擊工具後，共選出 6 種較具代表性的攻擊工具，其中含有 4 種 DoS 攻擊與 2 種 Probe 攻擊，將詳述如下

(1) DoS 攻擊

z Smurf – 為一典型之 DoS 攻擊，手法簡單而有效，其透過 icmp 協定主 要用於錯誤處理及傳遞控制訊息，不斷地發送 Echo Request 請求封包，

造成主機資源的濫用。

z Echok – 同為使用 icmp 協定之攻擊，通過發送高速大量的 Echo Reply 封包，消耗對方頻寬，阻擾合法之正常連線使用。

z UDPFlood – 為 UDP 之封包發送器，可控制發送速度比率，對設定 IP 及 port 發送 UDP 封包，並且封包可由任意的測試字串或 byte 位元組成，

增加偵測之困難度。

z DDoSPing – 分散式 DoS 攻擊器，可選擇 Trinoo、Stacheldraht、Tribe Flood Network 三類攻擊模式，可設定 IP 發送範圍及封包發送速度，並 可改變發送的來源及目的 port。

(2) Probe 攻擊

z Scanline – 常見的 Port 掃瞄器，使用指令列的方式設定掃瞄，可使用 icmp、tcp、udp 協定，處理大量 port 及 IP 範圍掃瞄，速度快且不佔資 源之攻擊工具。

z SuperScan – 功能強大之掃瞄器，可使用多種探測方式查看目標主機情 形，並可控制掃瞄速度及功能，透過精密的調控發送掃瞄攻擊，幾乎所 有目前掃瞄 IP 之相關方法都可使用。

3.4.2 資料集製作

一般而言，在正常網路環境底下，絕大多數的封包流量是屬於正常連線，真 正是攻擊連線的部份僅佔相對的極小部份，但由於製作之資料集主要是使用於評 估入侵偵測系統的效能，因此將會設定較多之攻擊封包產生，在原始 Kddcup’99 資料集中，攻擊之發送建置相當的不平衡，如圖 3-4 所示，正常之連線由於是評 估使用，僅佔約 20%外，其餘範圍 Smurf 攻擊佔了 57%、neptune 佔了 21%，僅 剩餘近 1%的量屬於其他攻擊，攻擊樣本極端不平衡，亦造成支持向量機於訓練 學習時，缺乏分類辨識之依據，使預期正確率低落的情況產生，因此本資料集在 實作時，考慮可能之情形，將以攻擊平均分配考量為設定方式之一，並依據設定 好的資料集發送表格，持續的發動攻擊。

針對資料集之製作，除了一般收發之正常連線外，在攻擊的發送中，我們將 預先建立發送設定表，依循攻擊之分配發送，如表 3-9 的訓練模組及表 3-10 的 測試模組，在訓練資料的一小時（60 分）中，前 01-10 分裡，我們將發送 Probe 類的 Scanline 攻擊及 DoS 類的 Smurf 攻擊各 10 次，其中 DoS 類攻擊每次的封包 量將依序發送 10、50、100、150、200，Probe 類是以掃瞄探測為主，並無依據 封包量發送，將於每次發動掃瞄目標端單一主機或多台主機探測，針對不同的 Port 也就是 Service 進行攻擊，而在測試模組中，將增加 DoS 類的 UDPFlood 及 DDoSPing 攻擊，Probe 類的增加 SuperScan 攻擊，發送方式都將如表中所設定，

以避免攻擊樣本過於不平衡之問題。

Attack Breakdown

smurf.

57.32215%

neptune.

21.88491% portsweep.

0.21258%

land.

0.00043%

warezmaster.

0.00041%

buffer_overflow.

0.00061%

teardrop.

0.01999%

warezclient.

0.02082%

back.

0.04497%

nmap.

0.04728%

imap.

0.00024%

rootkit.

0.00020%

ftp_write.

0.00016%

guess_passwd.

0.00108%

pod.

0.00539%

multihop.

0.00014%

phf.

0.00008%

spy.

0.00004%

perl.

0.00006%

loadmodule.

0.00018%

normal.

19.85903%

ipsweep.

0.25480%

Other 0.93391%

satan.

0.32443%

smurf.

neptune.

normal.

satan.

ipsweep.

portsweep.

nmap.

back.

warezclient.

teardrop.

pod.

guess_passwd.

buffer_overflow.

land.

warezmaster.

imap.

rootkit.

loadmodule.

ftp_write.

multihop.

phf.

perl.

spy.

圖 3-4. Kddcup’99 攻擊次數統計圖[3]

表 3-9. 訓練模組設定表

時間 Probe DoS 次數 封包量 01-10 分 Scanline Smurf 10 10-200 10-20 分 Scanline Echok 10 10-200 20-30 分 Scanline Smurf+Echok 10 10-200 30-45 分 Scanline 10 10-200

45-60 分 Smurf+Echok 10 10-200 表 3-10. 測試模組設定表

時間 Probe DoS 次數 封包量

01-10 分 SuperScan+Scanline Smurf+DDoSPing 5 10-200 SuperScan+Scanline Echok+UDPFlood 5 10-200

10-20 分 SuperScan+Scanline Smurf+Echok 5 10-200 SuperScan+Scanline DDoSPing+UDPFlood 5 10-200

20-30 分 SuperScan+Scanline Smurf+DDoSPing+Echok+UDPFlood 10 10-200