Requisições

Um conjunto de requisições HTTP foi coletado de um ambiente web que foi disponibilizado na Internet, este conjunto requisições foi nomeado como Dataset - Celepar. Aproximadamente 5 milhões de requisições foram coletadas entre as 19:00 do dia 16/12/2010 e as 18:00 do dia 28/12/2010 (GMT). As requisições foram inspecionadas e rotuladas manualmente, onde foram identificadas 29736 anomalias e 1248 ataques.

Entre as anomalias foram constatados diversos erros de digitação de usuários na URL; referência de URL incompleta; erros nos acessos de robôs de sítios de busca; erros de codificação e de referência vindos de sítios terceiros; diversas requisições inválidas vindas de estações MSWindows, entre outras.

Entre os ataques foram identificadas diversas tentativas de injeção de SQL; inclusão remota de arquivo; travessia de caminho; busca forçada; abuso de proxy; ataques de malwares, etc.

Para incrementar o número de ataques sem gerar um incidente de segurança, foram adicionados ao conjunto de requisições diversos ataques extraídos da base da competição [iCTF, 2008]. No total foram adicionados 127344 ataques das ferramentas [Nessus, 2011], [Acunetix, 2011], [DirBuster, 2011] e [Nikto, 2011].

Ao final, o conteúdo do Dataset foi ofuscado e depois subdivido em 20 partes de 250000 requisições cada:

Após ser utilizado para os experimentos descritos no artigo, o conjunto de requisições (Dataset - Celepar) foi disponibilizado pela Celepar para o público para fins de pesquisa:

• P00 - dts.p00.tar.gz
  • 10765864 bytes
  • SHA1 (a0938ed60d0c15c39f45f78f29817797c5d6ef62)
• P01 - dts.p01.tar.gz
  • 10671652 bytes
  • SHA1 (865f22115d8241125801c15ec4160ec71ce6936c)
• P02 - dts.p02.tar.gz
  • 10810185 bytes
  • SHA1 (859c37a1a87a4e67e09cd3a08bfd42bfc694cfe8)
• P03 - dts.p03.tar.gz
  • 10663366 bytes
  • SHA1 (bfd722622bc9c46705762278f2812fc0ad48cad9)
• P04 - dts.p04.tar.gz
  • 10685717 bytes
  • SHA1 (00d3d2e2362f880d442de4d317590bacaecfa34b)
• P05 - dts.p05.tar.gz
  • 10626910 bytes
  • SHA1 (0f299992d33e74317ffd3d8951c8428a3aebd4f2)
• P06 - dts.p06.tar.gz
  • 11049999 bytes
  • SHA1 (65f7d75f069420f4fe94313cd1ab64b301e7bb5d)
• P07 - dts.p07.tar.gz
  • 10967960 bytes
  • SHA1 (8dbde7da7c6474fb025f39ab1b65c3e384b49313)
• P08 - dts.p08.tar.gz
  • 11088504 bytes
  • SHA1 (4c6e9fc4536a6eedf457e7d9100331742564d594)
• P09 - dts.p09.tar.gz  
  • 8889855 bytes - -SHA1 (399febd69ade0015a0c7a5ff34d0606faea499d9)
• P10 - dts.p10.tar.gz
  • 10346353 bytes
  • SHA1 (9555a7f47f5d383dfe848e6d0cc391cedac5aba1)
• P11 - dts.p11.tar.gz
  • 10850676 bytes
  • SHA1 (f9b3cb74f6f33994af334316a9d87f4602e347ff)
• P12 - dts.p12.tar.gz
  • 10958574 bytes
  • SHA1 (1f6dec6f22c149133c9e50e20c62026632c56119)
• P13 - dts.p13.tar.gz
  • 10901060 bytes
  • SHA1 (dd472a6a8cce145fe04fa15839016557754065a9)
• P14 - dts.p14.tar.gz
  • 10938193 bytes
  • SHA1 (9d6560f3001ec0ebc4f25f333af523c4c7684645)
• P15 - dts.p15.tar.gz
  • 10977270 bytes
  • SHA1 (dae6017eff565238d8a05c2d4743d8766b491593)
• P16 - dts.p16.tar.gz
  • 11545151 bytes
  • SHA1 (60a1dbc4d2b78bccacbae034a42b9bf5586fb954)
• P17 - dts.p17.tar.gz
  • 11027463 bytes
  • SHA1 (c8f819a85b1ae98ccd903f7db743291c853ba9c6)
• P18 - dts.p18.tar.gz
  • 10752626 bytes
  • SHA1 (dd26d472e87b5ed1864d148454b41edb46e4987c)
• P19 - dts.p19.tar.gz
  • 10880993 bytes
  • SHA1 (87c5587409ecc29f359c5958260ee5aa455f32e3)

Bibtex

@misc{CeleparDataset,
author = {Celepar-Dataset},
title = {{Celepar - Dataset with web attacks for intrusion detection research 
 (\url{http://ids.celepar.pr.gov.br/dataset})}},
year = {2011}
}

Referências

• [Acunetix, 2011] Acunetix Web Security Scanner
• [Dirbuster, 2011] OWASP DirBuster Project
• [iCTF, 2008] The 2008 iCTF Data
• [Nessus, 2011] Nessus Vulnerability Scanner
• [Nikto, 2011] Nikto Open Source web server scanner

Postado por Hermano Pereira (22/10/2011 19:48)