常见的入侵检测数据集

1. MIT LL DARPA

该研究共模拟了 5 大类网络攻击：

1.Denial-Of-Service(DOS)：非法企图中断或干扰主机或网络的正常运行；

2.Remote to Local(R2L)：远程非授权用户非法获得本地主机的用户特权；

3.User to Root(U2R)：本地非授权用户非法获取本地超级用户或管理员的特权；

4.Surveillance or probe(Probe)：非法扫描主机或网络，寻找漏洞、搜索系统配置或网络拓扑；

5.Date Compromise(data)：非法访问或修改本地或远程主机的数据。

下载地址：http://users.cis.fiu.edu/~lpeng/Datasets_detail.html也包含了很多常见的入侵检测数据集。

2.NSL-KDD、KDD99

KDD99数据集，有dos,u2r,r21,probe等类型的攻击，和普通的正常的流量。

Normal：正常记录

DOS：拒绝服务攻击

PROBE：监视和其他探测活动

R2L：来自远程机器的非法访问

U2R：普通用户对本地超级用户特权的非法访问

NSL-KDD数据集是KDD 99数据集的改进，（1）NSL-KDD数据集的训练集中不包含冗余记录，所以分类器不会偏向更频繁的记录；

（2）NSL-KDD数据集的测试集中没有重复的记录，使得检测率更为准确。

（3）来自每个难度级别组的所选记录的数量与原始KDD数据集中的记录的百分比成反比。结果，不同机器学习方法的分类率在更宽的范围内变化，这使得对不同学习技术的准确评估更有效。

（4）训练和测试中的记录数量设置是合理的，这使得在整套实验上运行实验成本低廉而无需随机选择一小部分。因此，不同研究工作的评估结果将是一致的和可比较的。

KDD99下载：

NSL-KDD下载：

3.CIC-IDS-2017和CIC-IDS-2018

加拿大通信安全机构（CSE）和网络安全研究院（CIC）合作并公布了入侵检测数据集CIC-IDS-2017和CIC-IDS-2018。

CIC-IDS-2017和CIC-IDS-2018使用CICFlowMeter提取80多个网络流特征。其中包含了6个基本特征和70多个功能特征。但由于特征提取的工具CICFlowMeter版本不同，CIC-IDS-2017比CIC-IDS-2018少了一个功能特征。但是数据集的数据极度的不平衡。使用时还得对数据进行不平衡处理。

基于HTTP,HTTPS,FTP,SSH,邮件协议构造了25个抽象的用户行为。（模拟真实网络背景）

攻击包含Brute Force FTP，Brute Force SSH， DoS， Heartbleed（OpenSSL缺陷）， Web Attack，Infiltration（渗透）， Botnet（僵尸网络） 和 DDos 8 种。

数据集官网：https://www.unb.ca

CIC-IDS-2017下载：CIC-IDS-2017（需要先注册）

CIC-IDS-2018下载：

（由于官方提供的在AWS上下载较慢，提供了飞桨上的数据集）

4、UNSW-NB15

数据集中一共包含了9种攻击:Fuzzers, Analysis, Backdoors, DoS, Exploits, Generic, Reconnaissance, Shellcode and Worms.

数据集进行了训练集和测试集的分割。

数据集官网：The UNSW-NB15 Dataset Description

数据集下载：UNSW-NB15