DDoS攻击分析数据集：网络安全研究与入侵检测算法训练数据集

## 引言与背景

随着互联网的快速发展，分布式拒绝服务（DDoS）攻击已成为网络安全领域最严重的威胁之一。这类攻击通过大量恶意流量淹没目标服务器，导致服务中断，造成巨大的经济损失和社会影响。为了有效防御DDoS攻击，研究人员需要高质量的数据集来训练和验证入侵检测算法。本数据集正是为此目的而构建，包含了Linux内核级别的性能分析数据，为DDoS攻击的检测和分析提供了宝贵的研究资源。

该数据集包含多个维度的性能指标，涵盖了系统在正常状态和遭受DDoS攻击时的行为特征。数据集的完整内容包括元数据、原始性能采样数据、标注信息以及统计分析结果。原始数据以JSON格式存储，包含了分支指令、CPU周期、指令执行等多个维度的详细测量数据。这些数据对于深入理解DDoS攻击对系统性能的影响、开发有效的入侵检测系统具有重要价值。

## 数据基本信息

### 数据字段说明

| 字段名称 | 字段类型 | 字段含义 | 数据示例 | 完整性 |
| :--- | :--- | :--- | :--- | :--- |
| Time delta | 数值型（浮点） | 连续认证事件之间的时间间隔 | 0.279978838100434 | 完整 |
| Instruction overhead | 数值型（浮点） | 分析目标使用的指令数量，提供Linux内核库和代码符号的开销细节 | 11.42 | 完整 |
| CPU cycle overhead | 数值型（浮点） | 分析目标消耗的CPU周期数，提供Linux内核库和代码符号的开销见解 | 7.37 | 完整 |
| Branch overhead | 数值型（浮点） | 分析目标执行的分支指令数量 | 0.1905879520972498 | 完整 |
| Cycles | 数值型（浮点） | 分析目标使用的总周期数 | 382.171741 | 完整 |
| Instructions | 数值型（整数） | 分析目标执行的总指令数 | 107 | 完整 |
| Branches | 数值型（浮点） | 分析目标执行的总分支指令数 | 5.58 | 完整 |

### 数据分布情况

#### 数据集类别分布

| 类别 | 记录数量 | 占比 |
| :--- | :--- | :--- |
| Correct_ID（正确ID） | 4组 | 25% |
| Wrong_CS_TS（错误CS时间戳） | 4组 | 25% |
| Wrong_EV_TS（错误EV时间戳） | 4组 | 25% |
| Wrong_ID（错误ID） | 4组 | 25% |

#### 采样配置分布

| 配置类型 | 记录数量 | 占比 |
| :--- | :--- | :--- |
| Random_CS_Off + Gaussian_Off | 4组 | 25% |
| Random_CS_Off + Gaussian_On | 4组 | 25% |
| Random_CS_On + Gaussian_Off | 4组 | 25% |
| Random_CS_On + Gaussian_On | 4组 | 25% |

#### 分析目标分布

| 分析目标 | 描述 |
| :--- | :--- |
| CS（Credential Storage） | 凭证存储相关的内核函数分析 |
| GS（Group Scheduling） | 组调度相关的内核函数分析 |

### 数据规模与类型

该数据集包含16个主要数据组，每组数据包含多个JSON文件：
- STAT.json: 统计分析数据，包含性能指标的聚合统计
- time_diff.json: 时间差数据，记录事件间的时间间隔
- TOP.json: TOP分析数据，记录核心内核函数的性能特征
- basis_symbol.json: 基础符号数据，定义分析中使用的内核符号列表
- final_dataset.json: 最终数据集，整合所有分析结果

数据格式均为JSON格式，便于程序处理和分析。

## 数据优势

| 优势特征 | 具体表现 | 应用价值 |
| :--- | :--- | :--- |
| 多维度性能指标 | 包含分支指令、CPU周期、指令执行等7个核心指标 | 全面刻画系统性能特征，支持多维度分析 |
| 完整原始文件 | 包含完整的JSON格式原始数据文件 | 支持深度分析和自定义处理 |
| 标注信息完整 | 包含攻击状态标注（attack）和正常状态对比 | 适合监督学习算法训练 |
| 多场景覆盖 | 涵盖正确ID和多种错误场景 | 支持鲁棒性测试和异常检测研究 |
| 内核级数据 | 基于Linux内核性能事件采集 | 提供底层系统行为洞察 |
| 高采样分辨率 | 采样分辨率可达0.28秒级 | 捕捉快速变化的攻击特征 |

## 数据样例

### 元数据样例

json
{
  "2-39-139-28": {
    "branch": {
      "attack": {
        "__update_load_avg_se": {
          "data_point": [7.37, 5.58, 4.9, 4.31, 3.57],
          "sampling_count": 107,
          "simulation_time": 382.171741,
          "sampling_resolution": 0.279978838100434
        }
      }
    }
  }
}

### 统计数据样例

json
{
  "2-39-89-25": {
    "branch": {
      "attack": {
        "data_point": [0.1905879520972498, 0.18681953278386212, 0.18662247513241892]
      }
    }
  }
}

### 基础符号样例

json
{
  "branch": {
    "common": ["ctx_sched_in", "__update_load_avg_se", "kmem_cache_alloc_node", "event_sched_in"],
    "exclusive": ["memcg_slab_free_hook", "update_rq_clock", "dequeue_task_fair"],
    "all": ["ctx_sched_in", "__update_load_avg_se", "kmem_cache_alloc_node", "event_sched_in", "psi_group_change"]
  }
}

### 时间差数据样例

时间差数据记录了连续认证事件之间的时间间隔，反映了系统在攻击状态下的响应延迟变化。

### 攻击状态下的数据特征

攻击状态下的数据显示出明显的性能变化：
- 分支指令开销从正常的10-15单位下降到1-5单位
- 部分指标出现明显的周期性波动
- 采样点分布呈现非均匀特征

## 应用场景

### DDoS攻击检测算法训练

该数据集可用于训练机器学习模型进行DDoS攻击检测。通过分析攻击状态和正常状态下的性能指标差异，可以构建有效的分类模型。数据集中包含的多维度性能指标（分支指令、CPU周期、指令执行等）提供了丰富的特征空间，支持深度学习模型的训练。研究人员可以利用这些数据开发基于机器学习的入侵检测系统，提高网络安全防护能力。

### 系统性能异常检测

基于该数据集的性能基线数据，可以建立系统正常运行时的性能模型。当系统遭受攻击时，性能指标会偏离基线，通过监测这些偏差可以实现异常检测。这种方法适用于实时监控场景，能够快速发现潜在的安全威胁。数据集包含的细粒度时间序列数据支持时序分析和异常模式识别。

### Linux内核安全研究

数据集中包含了大量Linux内核级别的性能数据，可用于研究DDoS攻击对内核行为的影响。通过分析不同内核函数在攻击状态下的表现，可以深入理解攻击的作用机制，为内核级防御策略的开发提供依据。研究人员可以识别出对攻击最敏感的内核函数，从而优化系统的安全配置。

### 入侵检测系统评估

该数据集可用于评估不同入侵检测算法的性能。通过将算法应用于标注好的数据集，可以客观地比较不同方法的检测准确率、误报率和漏报率。这对于选择合适的入侵检测方案具有重要参考价值。数据集的多场景覆盖特性支持对算法鲁棒性的全面评估。

## 结尾

本DDoS攻击分析数据集为网络安全研究提供了宝贵的资源。数据集包含完整的原始性能数据、多维度指标和详细的标注信息，支持多种研究和应用场景。其核心价值在于提供了Linux内核级别的细粒度性能数据，使研究人员能够深入理解DDoS攻击的行为特征。

数据集的完整原始文件支持深度分析和自定义处理，为算法开发和模型训练提供了丰富的数据基础。无论是学术研究还是工业应用，该数据集都具有重要的参考价值。

如需获取更多信息或完整数据集，可私信联系获取进一步详情。