Tengo un IDS (Sistema de detección de intrusiones) integrado en C y necesito probarlo con tráfico real. Es un sistema de detección de anomalías, por lo que primero debo entrenarlo con tráfico normal.
El IDS que construí se llama MAIS-IDS y se probó originalmente contra el conjunto de datos KDD de NSL. Este IDS es del artículo "MAIS-IDS: un sistema de detección de intrusos distribuido que utiliza un enfoque AIS multiagente".
Lo primero que debo hacer es convertir los datos de tcpdump al conjunto de datos NSL KDD 99 para poder analizar el tráfico en tiempo real. En mi investigación, vi que podría usar tcpreplay , tshark , u otra opción es escribir mi propio script. Me gustaría saber cuál es la mejor manera de hacerlo.
Después de eso, usaré mi IDS junto con el ataque de gráficos creado a través del software mulval para reducir los falsos positivos.
Para probar todo, voy a usar Metasploit, que es un marco que podría usar para escribir scripts para atacar mi red.
La otra cosa que me gustaría saber es si este software que voy a usar es la mejor manera de hacerlo. Estoy un poco perdido la primera vez que intento preparar este tipo de experimento.