计算机网络安全数据集介绍.pdfVIP

* 计算机网络安全数据集介绍 1 1 1 1 2 王志刚 张涛 何红红 郝明磊 路芳 （1 北京航空气象研究所，北京，100085；2 北京应用气象研究所，北京，100029） 摘 要 数据是计算机网络安全研究的基础，对数据的正确选择及合理使用是开展相关安全研究的前提。首先， 对计算机网络安全数据进行分类研究，提出层次化数据分类方法，将数据分为网络层数据、操作系统层数 据和应用层数据；其次，重点介绍 9 个计算机网络安全数据集，并根据数据集中包含的主要数据类型和使 用方法对数据集进行比较分析。通过对计算机网络安全数据分类研究和对相关数据集的介绍，为研究人员 选择和使用安全数据提供帮助。 关键词：计算机网络，计算机网络安全，网络安全，数据，数据集。 1 引言 数据是计算机网络安全研究的基础。没有数据，我们就无法理解安全现象、揭示安全机 理、发现安全规律、解决安全问题。数据在研究中的作用主要包括三个方面：为模型（Models） 服务、为仿真（Simulations）服务、为实验（Experiments）服务[1]。数据的使用贯穿了整 个研究过程。在研究开始阶段，获得丰富可用的数据是最主要的任务之一；在研究过程中， 研究人员需要对数据进行不断地分析、处理，从数据中获得有用的信息；在研究结束阶段， 数据主要用于实验验证，支撑研究结论。对各种计算机网络安全数据进行研究，可以掌握不 同数据的特性，帮助我们合理的选择数据，为计算机网络安全研究工作的顺利开展奠定基础。 本文第 2 节在介绍计算机网络安全数据相关分类研究的基础上，提出一种层次化数据分 类方法；第 3 节介绍一些目前可以使用的计算机网络安全数据集，并进行对比分析；第 4 节对本文内容进行总结。 2 计算机网络安全数据分类 2.1 相关研究介绍 国内外相关研究人员针对安全数据的特点，提出一些分类方法。 （1）郭陟在[2]中称目标系统的安全数据为日志，将目标系统的日志分为三类：基于主 机的日志（Host-based Log）、基于网络的日志（Network-based Log）和基于网络设备的日                                                                *该文章英文版已在ICAMCS2012 会议上发表，本文针对英文版内容进行了部分修改。  志。各类日志的说明如下： 基于主机的日志：主要由主机中的操作系统、应用程序日志构成。这类日志需要将 传感器安装在被监控主机上，利用传感器直接采集被监控主机的日志数据。其中， 操作系统日志包括系统日志（System Log）、用户级审计踪迹（User-level Audit Trail）和内核级审计踪迹（Kernel-Level Audit Trail）；应用程序日志通常包 括 Web 日志（Web Log）和数据库日志（Database Log）。 基于网络的日志：主要由网络中的数据包构成。这类日志可通过监听网络中的数据 包而获得。 基于网络设备的日志：包括防火墙、路由器等网络设备的日志数据。 （2）周宁在[3]中将安全数据分为三类：网络数据包、入侵检测系统的报警信息和其它 类型数据。其中，网络数据包类型数据包括利用 Tcpdump 抓取的原始数据包和 NetFlow数据 信息；其它类型数据包括 DNS 查询信息、特定安全工具相关数据、主机日志和防火墙日志等。 （3）Goodall 在[4]中将安全数据分为三个层次：基础层—原始的网络数据包；较高层 —网络流（Network Flow）数据；最高层—自动化系统的数据，如入侵检测系统（IDS）报 警数据。