KDD是数据挖掘与知识发现(Data Mining and Knowledge Discovery)的简称,KDD CUP ACM(Association for Computing Machiner)的 SIGKDD(Special Interest Group on Knowledge Discovery and Data Mining)组织的年度竞赛。
KDD CUP 99 dataset ”就是KDD竞赛在1999年举行时采用的数据集。数据集下载地址
这里对数据集不做过多介绍,分享两篇数据集的介绍。博客一 博客二
本文着重对KDD99中数据标签中的小分类进行介绍,通过查找论文、博客等资料才汇总好。
KDD99数据类型分类:
Normal | 正常记录 | Normal |
DOS | 拒绝服务攻击 | back、land、neptune、pod、smurf、teardrop |
Probing | 监视和其他探测活动 | ipsweep、nmap、portsweep、satan |
R2L | 来自远程机器的非法访问 | ftp_write、guess_passwd、imap、multihop、phf、spy、warezclient、warezmaster |
U2R | 普通用户对本地超级用户特权的非法访问 | buffer overflow、loadmodule、perl、rootkit |
表中的第一列是大的攻击类型,第二列是中文解释,第三列是大的攻击类型中包含的小的类型。
大部分的博客都是介绍大的攻击类型及其意思,接下来我对小的攻击类型进行介绍,以供需要的同志们参考。
DOS( Denial of Service Attack)
Smurf:发送大量IP包,耗尽带宽。
Pod:发送大量畸形ping包,导致系统崩溃,对目标IP不停的ping 。
Teardrop:发送大量的、过大的错位IP碎片到被攻击的机器。造成操作系统崩溃。
Land:发送精心构造的、具有相同源地址和目标地址的欺骗数据包,致使缺乏相应防护机制的目标设备瘫痪。
Back:针对Apache web服务器的反向拒绝服务攻击,其中客户端请求包含许多反斜杠的URL。
Neptune:SYN在一个或多个端口上淹没拒绝服务。
Probing(Probing Attack)
Ipsweep:对多个主机地址执行端口扫描或ping并监视。
Nmap: 使用nmap工具进行nmap网络映射,包括SYN包(TCP连接第一个包)。
Port sweep:监视扫描许多端口,以确定在单个主机上支持哪些服务。
Satan:寻找已知弱点的Satan网络探测工具。
R2L(remote to local Attack)
ftp_write :远程ftp用户创建.rhost文件写匿名ftp目录中并获取本地登录名。
guess_passwd :远程管理在服务器上的电子邮件/猜测密码。
imap :使用imap端口的imap远程缓冲区溢出获得系统权限。
multihop:用户第一次闯入一台机器的多步活动。
spy:用户为了寻找重要信息而闯入机器的多天场景,用户试图避开检测。使用几种不同的攻击方法获取访问。
warezclient:用户下载之前由WarezMaster通过匿名ftp发布的非法软件。
warezmaster:匿名上传非法软件到ftp服务器(通常是copywrited软件的非法副本)。
phf:利用的CGI脚本,允许客户机在配置错误的Web服务器上执行任意命令。
U2R(User to Root Attack)
Rootkit:一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。
buffer overflow:缓存溢出攻击,利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。
loadmodule:为普通用户重置ifs并创建root权限的shell。
Perl:Perl攻击,在Perl脚本中将用户ID设置为根,并创建根shell。
有了这些小的攻击类别就可以做更多的工作了。
