Вы можете использовать Bro , чтобы узнать состояние соединения / потока. Для этого запустите Bro следующим образом:
bro -r trace.pcap
Создает файл conn.log, который содержит столбец conn_state, который отражает состояние соединения. Вот некоторые соответствующие значения поля, подробности см. В документации :
- S0 : попытка подключения замечена, ответа нет.
- S1 : соединение установлено, не разорвано.
- SF : нормальное установление и завершение. Обратите внимание, что это тот же символ, что и для состояния S1. Вы можете различить два, потому что для S1 в сводке не будет никакого количества байтов, в то время как для SF будет.
- REJ : попытка подключения отклонена.
- RSTO : соединение установлено, отправитель прерван (отправлен RST).
- RSTR : установлено, ответчик прерван.
В качестве примечания, исследовательское сообщество IDS категорически не рекомендует использовать набор данных DARPA (и производный набор данных KDD Cup), несмотря на его привлекательную доступность.