Network Intrusion Datasets: A Survey, Limitations, and Recommendations

Detekce kybernetických hrozeb založená na datech se stala klíčovou technikou vmoderní kyberbezpečnosti. Obrana sítí, které součástí jsou i systémy detekce síťových útoků (NIDS), také čím dál více využívá přístupů založených na datech, což vede krostoucí datové závislosti. Navzdory jejich důležitosti je však nedostatek kvalitních dat dlouhodobě vnímán jako hlavní překážka ve výzkumu NIDS. V reakci na tento problém publikovala odborná komunita v poslední době řadu nových datových sad. Mnohé z nich však zůstávají téměř neznámé a neanalyzované, což výzkumníkům ztěžuje posouzení jejich vhodnosti pro konkrétní případy použití.

V tomto článku se adresovat tuto mezeru v poznání systematickým přehledem literatury (SLR) zahrňujících 89 veřejně dostupných datových sad pro výzkum NIDS. Každá datová sada je porovnána na základě 13 klíčových vlastností a její potenciální využití jsou také nastíněna. Kromě samotného přehledu se věnujeme také doménově-specifickým problémům a omezením dat pro podpoření kritického pohledu na kvalitu dat. Pro podpoření výběru vhodných dat navíc provádíme analýzu popularity datových sad v současném NIDS výzkumu. Článek rovněž představuje osvědčené postupy pro výběr, tvorbu a využívání datových sad. Podpořen komplexním přehled domény a dostupných datových sad si tato práce klade za cíl nasměrovat budoucí výzkum ke zlepšení kvality dat a robustnosti řešení pro detekci kybernetických hrozeb.