KDD是數據挖掘與知識發現(Data Mining and Knowledge Discovery)的簡稱,KDD CUP ACM(Association for Computing Machiner)的 SIGKDD(Special Interest Group on Knowledge Discovery and Data Mining)組織的年度競賽。
KDD CUP 99 dataset ”就是KDD競賽在1999年舉行時採用的數據集。數據集下載地址
這裏對數據集不做過多介紹,分享兩篇數據集的介紹。博客一 博客二
本文着重對KDD99中數據標籤中的小分類進行介紹,通過查找論文、博客等資料才彙總好。
KDD99數據類型分類:
Normal |
正常記錄 |
Normal |
DOS |
拒絕服務攻擊 |
back、land、neptune、pod、smurf、teardrop |
Probing |
監視和其他探測活動 |
ipsweep、nmap、portsweep、satan |
R2L |
來自遠程機器的非法訪問 |
ftp_write、guess_passwd、imap、multihop、phf、spy、warezclient、warezmaster |
U2R |
普通用戶對本地超級用戶特權的非法訪問 |
buffer overflow、loadmodule、perl、rootkit |
表中的第一列是大的攻擊類型,第二列是中文解釋,第三列是大的攻擊類型中包含的小的類型。
大部分的博客都是介紹大的攻擊類型及其意思,接下來我對小的攻擊類型進行介紹,以供需要的同志們參考。
DOS( Denial of Service Attack)
Smurf:發送大量IP包,耗盡帶寬。
Pod:發送大量畸形ping包,導致系統崩潰,對目標IP不停的ping 。
Teardrop:發送大量的、過大的錯位IP碎片到被攻擊的機器。造成操作系統崩潰。
Land:發送精心構造的、具有相同源地址和目標地址的欺騙數據包,致使缺乏相應防護機制的目標設備癱瘓。
Back:針對Apache web服務器的反向拒絕服務攻擊,其中客戶端請求包含許多反斜槓的URL。
Neptune:SYN在一個或多個端口上淹沒拒絕服務。
Probing(Probing Attack)
Ipsweep:對多個主機地址執行端口掃描或ping並監視。
Nmap: 使用nmap工具進行nmap網絡映射,包括SYN包(TCP連接第一個包)。
Port sweep:監視掃描許多端口,以確定在單個主機上支持哪些服務。
Satan:尋找已知弱點的Satan網絡探測工具。
R2L(remote to local Attack)
ftp_write : 遠程ftp用戶創建.rhost文件寫匿名ftp目錄中並獲取本地登錄名。
guess_passwd :遠程管理在服務器上的電子郵件/猜測密碼。
imap :使用imap端口的imap遠程緩衝區溢出獲得系統權限。
multihop:用戶第一次闖入一臺機器的多步活動。
spy:用戶爲了尋找重要信息而闖入機器的多天場景,用戶試圖避開檢測。使用幾種不同的攻擊方法獲取訪問。
warezclient:用戶下載之前由WarezMaster通過匿名ftp發佈的非法軟件。
warezmaster:匿名上傳非法軟件到ftp服務器(通常是copywrited軟件的非法副本)。
phf:利用的CGI腳本,允許客戶機在配置錯誤的Web服務器上執行任意命令。
U2R(User to Root Attack)
Rootkit:一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息。
buffer overflow:緩存溢出攻擊,利用它執行非授權指令,甚至可以取得系統特權,進而進行各種非法操作。
loadmodule:爲普通用戶重置ifs並創建root權限的shell。
Perl:Perl攻擊,在Perl腳本中將用戶ID設置爲根,並創建根shell。
有了這些小的攻擊類別就可以做更多的工作了。