我最近处理了DARPA网络流量数据包及其在KDD99中用于入侵检测评估的衍生版本。

请原谅我在计算机网络领域的知识有限，我只能从DARPA数据包头中提取9个特征，而不是KDD99中使用的41个特征。

我打算继续在UNB ISCX入侵检测评估数据集上工作。然而，我希望从pcap文件中提取KDD99中使用的41个特征，并将其保存为CSV格式。有没有快速/简便的方法来实现这一点？

回答：

请谨慎使用此数据集。

http://www.kdnuggets.com/news/2007/n18/4i.html

一些摘录：

人工数据是使用封闭网络、一些专有网络流量生成器和手动注入的攻击生成的

提出的问题中，最重要的一点似乎是从未进行过验证，以证明DARPA数据集实际上看起来像真实的网络流量。

2003年，Mahoney和Chan构建了一个简单的入侵检测系统，并在DARPA的tcpdump数据上运行。他们发现了许多异常情况，包括由于数据生成方式，所有恶意数据包的TTL为126或253，而几乎所有良性数据包的TTL为127或254。

DARPA数据集（以及由此扩展的KDD Cup ’99数据集）从根本上是破损的，无法从使用它们的任何实验中得出任何结论

我们强烈建议（1）所有研究人员停止使用KDD Cup ’99数据集

至于使用的特征提取。我记得大多数特征只是解析后的IP/TCP/UDP头部的属性。例如，端口号、IP的最后一个八位字节和一些数据包标志。

因此，这些发现不再反映现实的攻击了。如今的TCP/IP堆栈比创建数据集时要健壮得多，当时的“死亡之ping”会立即锁定Windows主机。现在，每个TCP/IP堆栈的开发者都应该意识到这种畸形数据包的风险，并对堆栈进行压力测试以防范此类情况。

因此，这些特征已经变得几乎毫无意义。错误设置的SYN标志等不再用于网络攻击；这些攻击更加复杂；而且很可能不再攻击TCP/IP堆栈，而是攻击下一层的服务。所以我不会费心去弄清楚那个’99年有缺陷的模拟中使用了哪些低级数据包标志，这些攻击在90年代初是有效的…