检测物联网僵尸网络攻击BaIoT数据集

Data Set Information: （a） 正在预测的属性： --最初，我们的目标是通过异常检测技术区分良性和恶意流量数据。 --然而，由于恶意数据可分为2个僵尸网络携带的10种攻击，因此该数据集也可用于多类分类：10类攻击，加上1类“良性”。 （b） 研究结果： --对于9台物联网设备中的每一台，我们在其2/3的良性数据（即每台设备的训练集）上训练并优化了深度自动编码器。这样做是为了捕获正常的网络流量模式。 --每个设备的测试数据由剩余1/3的良性数据加上所有恶意数据组成。在每个测试集上，我们分别使用经过训练的（深度）自动编码器作为异常检测器。异常检测（即，从上述每个物联网设备发起的网络攻击）以100%TPR结束。 Attribute Information: --以下介绍了每个功能标题： *流聚合： H：汇总来自此数据包主机（IP）的最近流量的统计信息 HH:Stats汇总最近从数据包的主机（IP）到数据包的目标主机的流量。 HpHp：统计数据汇总了最近从数据包的主机+端口（IP）到数据包的目标主机+端口的通信量。示例192.168.4.2:1242->192.168.4.12:80 HH_jit:Stats汇总了从该数据包的主机（IP）到该数据包的目标主机的流量抖动。 *时间范围（阻尼窗口中使用的衰减因子λ）： 在这些统计数据中捕获了流的最近历史记录有多少 L5、L3、L1。。。 *从数据包流中提取的统计信息： 权重：流的权重（可以视为最近历史中观察到的项目数） 意思是：。。。 标准：。。。 半径：两条流方差的平方根和 幅值：两条流平均值的平方根和 cov：两个流之间的近似协方差 pcc：两个流之间的近似协方差 文件目录结构： Relevant Papers: -- Reference to the article where the feature extractor (from *.pcap to *.csv) was described: Y. Mirsky, T. Doitshman, Y. Elovici & A. Shabtai 2018, 'Kitsune: An Ensemble of Autoencoders for online Network Intrusion Detection', in Network and Distributed System Security (NDSS) Symposium, San Diego, CA, USA. Citation Request: -- Reference to the article where the dataset was initially described and used: Y. Meidan, M. Bohadana, Y. Mathov, Y. Mirsky, D. Breitenbacher, A. Shabtai, and Y. Elovici 'N-BaIoT: Network-based Detection of IoT Botnet Attacks Using Deep Autoencoders', IEEE Pervasive Computing, Special Issue - Securing the IoT (July/Sep 2018). -- Creators: Yair Meidan, Michael Bohadana, Yael Mathov, Yisroel Mirsky, Dominik Breitenbacher, Asaf Shabtai and Yuval Elovici * Meidan, Bohadana, Mathov, Mirsky, Shabtai: Department of Software and Information Systems Engineering; Ben-Gurion University of the Negev; Beer-Sheva, 8410501; Israel * Breitenbacher, Elovici: iTrust Centre of Cybersecurity at Singapore University of Technology and Design; 8 Somapah Rd, Singapore 487372 -- Donor: Yair Meidan (yairme '@' bgu.ac.il) -- Date: March, 2018 (databases may change over time without name change!)

数据集信息： （a） 待预测属性： ——最初，我们的目标是通过异常检测（Anomaly Detection）技术区分良性流量与恶意流量数据。 ——不过，由于恶意数据可分为2个僵尸网络携带的10种攻击，因此该数据集也可用于多分类任务：涵盖10类攻击，外加1类“良性”样本。 （b） 研究结果： ——针对9台物联网（Internet of Things, IoT）设备，我们分别在其2/3的良性数据（即每台设备的训练集）上训练并优化了深度自动编码器（Deep Autoencoder），以此捕获正常的网络流量模式。 ——每台设备的测试集由剩余1/3的良性数据与全部恶意数据共同组成。在各测试集上，我们将训练完成的（深度）自动编码器作为异常检测器分别开展测试。针对上述每台物联网设备发起的网络攻击的异常检测任务最终实现了100%的真正例率（True Positive Rate, TPR）。 属性信息： ——以下为各特征标题的说明： * 流聚合类型： H：汇总来自当前数据包源主机（IP地址）的近期流量统计信息 HH：汇总从当前数据包的源主机（IP地址）到目标主机的近期流量统计信息 HpHp：汇总从当前数据包的源主机+端口（IP地址）到目标主机+端口的近期流量统计信息，例如192.168.4.2:1242→192.168.4.12:80 HH_jit：汇总从当前数据包的源主机（IP地址）到目标主机的流量抖动统计信息 * 时间范围（阻尼窗口中使用的衰减因子λ）： 表征上述统计信息所捕获的流量近期历史时长，包含L5、L3、L1等维度。 * 从数据包流中提取的统计指标： 权重：流的权重（可视为近期历史中观测到的样本总数） 均值：…… 标准差：…… 半径：两条流方差和的平方根 幅值：两条流均值和的平方根 协方差（cov）：两流之间的近似协方差 近似相关系数（pcc）：两流之间的近似协方差 相关论文： ——提及特征提取器（从*.pcap数据包捕获文件到*.csv逗号分隔值文件）实现方法的参考文献：Y. Mirsky、T. Doitshman、Y. Elovici与A. Shabtai于2018年发表于美国加利福尼亚州圣迭戈网络与分布式系统安全（Network and Distributed System Security, NDSS）研讨会的论文《Kitsune: An Ensemble of Autoencoders for Online Network Intrusion Detection》。 引用要求： ——该数据集首次被描述与使用的参考文献：Y. Meidan、M. Bohadana、Y. Mathov、Y. Mirsky、D. Breitenbacher、A. Shabtai与Y. Elovici发表于《IEEE普适计算》（IEEE Pervasive Computing）2018年7/9月号物联网安全特刊的论文《N-BaIoT: Network-based Detection of IoT Botnet Attacks Using Deep Autoencoders》。 创作者： Yair Meidan、Michael Bohadana、Yael Mathov、Yisroel Mirsky、Dominik Breitenbacher、Asaf Shabtai与Yuval Elovici * Meidan、Bohadana、Mathov、Mirsky、Shabtai：以色列内盖夫本-古里安大学软件与信息系统工程系；比尔谢巴，8410501 * Breitenbacher、Elovici：新加坡科技设计大学iTrust网络安全中心；新加坡索马帕路8号，邮编487372 数据捐赠者：Yair Meidan（邮箱：yairme '@' bgu.ac.il） 更新日期：2018年3月（数据集可能在不更名的情况下随时间更新！）