Rilevamento attacchi

[morphe]

Ciao gente ho un immenso log tcpdump da cui ho estratto alcune informazioni, come dalla gara:
http://kdd.ics.uci.edu/databases/kddcup99/task.html

Quello che devo fare è una cosa un po particolare, ma volevo chiedere se qualcuno di voi sa perchè per esempio la riga sottostante viene classificata come un attacco di tipo smurf,
ovvero c'e' una sorta di "algoritmo", scusate il termine, per capire l'attacco? Come han fatto loro??

codice:

0,icmp,ecr_i,SF,1032,0,0,0,0,511,511,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,255,1.00,0.00,1.00,0.00,0.00,0.00,0.00,0.00,smurf . 
-------------------- 
duration: 0 sec 
protocol: icmp 
service: echo reply 
src bytes: 1032 
dest bytes:0 
... 
features descritte nel link dato
--------------------

grazie se qualcuno riesce ad aiutarmi, visto che son arrivato all'ultimo gradino

[Habanero]

nonostante il link non riesco a capire il significato dei dati. La tua lista di valori è più corta dell'elenco di voci presenti nel link e il loro significato, a parte i primi, non sembra combaciare...

Se riesci ad essere più chiaro...

[morphe]

Scusa hai ragione, allora questi qui sotto sono due esempi, che utilizzano tutte le features del link che ti ho detto. L'esempio che ho dato precedentemente invece utilizza la prima e la terza tabella, praticamente salta la tabella di mezzo dall'indicatore "hot" all'indicatore "is_guest_login" compresi.

codice:

0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,510,510,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,255,1.00,0.00,1.00,0.00,0.00,0.00,0.00,0.00,smurf.


0,tcp,private,REJ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,287,14,0.00,0.00,1.00,1.00,0.05,0.06,0.00,255,14,0.05,0.07,0.00,0.00,0.00,0.00,1.00,1.00,neptune.

Riesci a capire come fanno a classificare le righe come questa? Cioè a dire di che tipo di attacco si tratta in base ai dati delle tabelle? Grazie davvero infinite