KDD Cup'99 数据熟悉和特征分析

/* 以下结论来自10%的数据，做一个简单的了解*/


1. 检查文件共有42行，即42个特征，特征表格如下


（back,buffer_overflow,ftp_write,guess_passwd,imap,ipsweep,land,loadmodule,multihop,neptune,nmap,normal,perl,phf,pod,portsweep,rootkit,satan,smurf,spy,teardrop,warezclient,warezmaster.）


2. 检查主要特征的内容包括：


2.1 protocol_type: symbolic. 协议类型包括三种


['tcp' 'udp' 'icmp']duration: continuous.


2.2 symbolic. service 目的地址的网络服务包括：


['http' 'smtp' 'finger' 'domain_u' 'auth' 'telnet' 'ftp' 'eco_i' 'ntp_u'
 'ecr_i' 'other' 'private' 'pop_3' 'ftp_data' 'rje' 'time' 'mtp' 'link'
 'remote_job' 'gopher' 'ssh' 'name' 'whois' 'domain' 'login' 'imap4'
 'daytime' 'ctf' 'nntp' 'shell' 'IRC' 'nnsp' 'http_443' 'exec' 'printer'
 'efs' 'courier' 'uucp' 'klogin' 'kshell' 'echo' 'discard' 'systat'
 'supdup' 'iso_tsap' 'hostnames' 'csnet_ns' 'pop_2' 'sunrpc' 'uucp_path'
 'netbios_ns' 'netbios_ssn' 'netbios_dgm' 'sql_net' 'vmnet' 'bgp' 'Z39_50'
 'ldap' 'netstat' 'urh_i' 'X11' 'urp_i' 'pm_dump' 'tftp_u' 'tim_i' 'red_i']


2.3 flag: symbolic flag连接是正确或错误的flag，有：


['SF' 'S1' 'REJ' 'S2' 'S0' 'S3' 'RSTO' 'RSTR' 'RSTOS0' 'OTH' 'SH']




2.4 src_bytes: continuous.


2.5 dst_bytes: continuous.


2.6 land :“1”表示如果连接来自/到相同的主机/端口


[0 1]


2.7 wrong_fragment: continuous.错误的片段数量number of ``wrong'' fragments，


[0 1 3]


2.8 urgent: continuous. 紧急数据包


[0 2 1 3]


2.9 hot: number of ``hot'' indicators continuous.指标数量


[ 0  1  3 19  6  4 30 24 14 18  2  5 17 22  7 16 12 20 10 28 15  9]


2.10 num_failed_logins: continuous.登录失败的尝试次数


[0 1 5 2 4 3]


2.11 logged_in: symbolic.“1”表示成功登录


[1 0]


2.12 num_compromised: continuous. number of ``compromised'' conditions “妥协”的条件数量 是通信质量的妥协吗？
 
[  0   2   1   4  16   3 767   7  22  21 238   6 281   5  11 275  12  18
  38  13 884   9 102]


2.13 root_shell: continuous. 1 if root shell is obtained; 0 otherwise 如果获得root权限，则该值为1


[0 1]


2.14 su_attempted: continuous.1 if ``su root'' command attempted; 0 otherwise discrete 有“2”是什么意思


[0 1 2] 


2.15 num_root: continuous.number of ``root'' accesses continuous 访问数量


[  0   2   1   3   9   5   6  16   4 857  39  12 268 278   7  14 306  54
 993 119]


2.16 num_file_creations: continuous.number of file creation operations continuous


[ 0  1  2  4 15  9 16 28 10 21 14  5  7  8 12 25 22 20]


2.17 num_shells: continuous.number of shell prompts 提示符的数量


[0 2 1]


2.18 num_access_files: continuous.number of operations on access control files 访问关键文件的次数


[0 1 2 4 6 3 8]


2.19 num_outbound_cmds: continuous.number of outbound commands in an ftp session ftp会话中出站命令的数量


[0]


2.20 is_host_login: symbolic.


2.21 is_guest_login: symbolic.


在两秒的窗口内的数据流量特征计算


包括两种类型，针对的是相同的host的连接，和相同的服务的连接


2.22 count: continuous.number of connections to the same host as the current connection in the past two seconds 与过去两秒内当前连接相同的主机连接数，相同host


Note: The following  features refer to these same-host connections.


2.23 srv_count: continuous.


number of connections to the same service as the current connection in the past two seconds continuous  相同服务


2.24 serror_rate: continuous.


% of connections that have ``SYN'' errors continuous 同步错误？相同host


2.25 srv_serror_rate: continuous.


% of connections to the same service continuous 相同服务


2.26 rerror_rate: continuous.


% of connections that have ``REJ'' errors continuous 拒绝访问？相同host


2.27 srv_rerror_rate: continuous.


% of connections that have ``REJ'' errors continuous 和上面有区别？？相同服务


2.28 same_srv_rate: continuous.


% of connections to the same service continuous 相同host当中的相同服务


2.29 diff_srv_rate: continuous.


% of connections to different services continuous相同host当中的不同服务


2.30 srv_diff_host_rate: continuous. 相同服务中的不同host


2.31 dst_host_count: continuous.目的地相同吗


2.32 dst_host_srv_count: continuous.目的地相同吗


2.33 dst_host_same_srv_rate: continuous.


2.34 dst_host_diff_srv_rate: continuous.


2.35 dst_host_same_src_port_rate: continuous.


2.36 dst_host_srv_diff_host_rate: continuous.


2.37 dst_host_serror_rate: continuous.


2.38 dst_host_srv_serror_rate: continuous.


2.39 dst_host_rerror_rate: continuous.


2.40 dst_host_srv_rerror_rate: continuous.


3. 攻击类型分析


从10%数据中，可以看到多种攻击类型


smurf.              280790
neptune.            107201
normal.              97277
back.                 2203
satan.                1589
ipsweep.              1247
portsweep.            1040
warezclient.          1020
teardrop.              979
pod.                   264
nmap.                  231
guess_passwd.           53
buffer_overflow.        30
land.                   21
warezmaster.            20
imap.                   12
rootkit.                10
loadmodule.              9
ftp_write.               8
multihop.                7
phf.                     4
perl.                    3
spy.                     2


在文件中也有对攻击类型的说明，以上10%数据包含了所有的说明文件中攻击类型。


从维基百科的定义了解，按照网络攻击的主动性和被动性分类，有以下攻击方式


Passive——Network
    Wiretapping
    Port scan
    Idle scan
Active
    Denial-of-service attack
    Spoofing
    Network
        Man in the middle
        ARP poisoning
        Ping flood
        Ping of death
        Smurf attack
    Host
        Buffer overflow
        Heap overflow
        Stack overflow
        Format string attack


分别查看各个具体攻击类型
3.1 smurf. 属于DoS攻击的一种。


https://en.wikipedia.org/wiki/Smurf_attack
    Smurf攻击是一种分布式拒绝服务攻击，其中大量具有目标受害者的欺骗源IP的互联网控制消息协议（ICMP）数据包通过IP广播地址广播到计算机网络。 默认情况下，网络上的大多数设备都会通过向源IP地址发送回复来对此进行响应。 如果网络上接收和响应这些数据包的机器数量非常大，受害者的计算机将被流量淹没。 这可能会减慢受害者的计算机，使其无法工作。
    
DoS攻击定义：


攻击者通过暂时或无限制地破坏连接到Internet的主机的服务，试图使其计划用户无法使用机器或网络资源。拒绝服务通常是通过用多余的请求淹没目标机器或资源来试图超载系统并防止某些或所有合法请求被满足来完成的。


其针对的对象是主机。


在分布式拒绝服务攻击（DDoS攻击）中，淹没受害者的传入流量来自许多不同的来源。这有效屏蔽了简单阻止单一来源攻击的防御方式。


DoS或DDoS攻击类似于挤占商店入口处的一群人，使得合法客户很难进入，破坏交易。


针对DoS攻击的犯罪肇事者通常以托管在高端Web服务器（如银行或信用卡支付网关）上的网站或服务为目标。复仇，勒索和激进主义可以激发这些攻击。


美国计算机应急准备小组（US-CERT）发现拒绝服务攻击的症状包括：


异常缓慢的网络性能（打开文件或访问网站）
某个特定网站无法使用
无法访问任何网站
收到的垃圾邮件数量急剧增加（这种类型的DoS攻击被视为电子邮件炸弹）。


其他症状可能包括：


断开无线或有线互联网连接
长期拒绝访问网络或任何互联网服务。
如果攻击发生在足够大的范围内，那么互联网连接的整个地理区域都可能受到攻击，而攻击者无法通过错误配置或脆弱的网络基础设施知道或意图。


3.2 neptune


与SYN Flood同义


当主机受到neptune攻击时，该主机收到大量的SYN请求，因此由此发生的会话数远高于正常情况下的会话数目


3.3 back


是DoS攻击的一种


3.4 SATAN


用于分析网络的安全管理员工具（SATAN）是用于分析联网计算机的免费软件漏洞扫描程序。 SATAN吸引了广泛的技术观众的注意力，出现在PC杂志[1]，并从美国司法部提出威胁[1]。 它提供了一个Web界面，包含输入目标的表单，显示结果的表格以及发现漏洞时出现的上下文相关教程。


3.5 ipsweep


扫描IP?，攻击的前奏，探测攻击的一种


3.6 portsweep


端口扫描器是旨在探测服务器或主机的开放端口的应用程序。 管理员经常使用这种方法来验证其网络的安全策略，并且攻击者通过识别在主机上运行的网络服务并利用漏洞。


端口扫描或端口扫描是将客户端请求发送到主机上的一系列服务器端口地址的过程，其目标是找到活动端口; 这并不是一个邪恶的过程。[1] 端口扫描的大部分用途不是攻击，而是确定远程计算机上可用服务的简单探测。


端口扫描是为多个主机扫描特定的侦听端口。后者通常用于搜索特定服务，例如，基于SQL的计算机蠕虫可能会扫描端口以查找侦听TCP端口1433的主机


3.7 warezclient


盗版软件的客户


3.8 teardrop.


    泪滴攻击涉及将重叠的超大有效载荷发送到目标机器。这可能会导致各种操作系统崩溃，因为它们的TCP / IP碎片重新组装代码存在错误。 Windows 3.1x，Windows 95和Windows NT操作系统以及版本2.0.32和2.1.63之前的Linux版本都容易受到此攻击。


（尽管在2009年9月，Windows Vista中的一个漏洞被称为“泪滴攻击”，这是针对比泪滴使用的TCP数据包更高层的SMB2）[57] [58]。


    IP报头中的一个字段是“片段偏移量”字段，指示包含在分段数据包中的数据相对于原始数据包中数据的起始位置或偏移量。如果一个分片数据包的偏移量和大小之和不同于下一个分片数据包的偏移量和大小之和，则数据包重叠。发生这种情况时，容易受到泪滴攻击的服务器无法重新组装数据包 - 从而导致拒绝服务状况。


3.9 pod


Ping of death 攻击是一种会影响许多过去的操作系统的攻击方式。根据研究报告许多系统在接受到过大的IP数据包时会产生不可预料的异常。常见的异常情况包括系统崩溃、死机和重启。


3.10 nmap


探测攻击的一种，攻击者通过扫描网络内的计算机来获取信息以找出网络可能存在的漏洞，为更进一步的攻击搜集目标主机的信息。


也就是Network Mapper，最早是Linux下的网络扫描和嗅探工具包。


3.11 guess_passwd


没啥好解释的


3.12 buffer_overflow


导致服务器运行软件混淆，并占用磁盘空间或占用所有可用内存或CPU时间。


https://en.wikipedia.org/wiki/Buffer_overflow


3.13 Land


“香蕉攻击”是一种特殊类型的DoS。它涉及将来自客户端的外出消息重定向回到客户端，防止外部访问，以及用发送的分组淹没客户端。LAND攻击属于这种类型。


https://en.wikipedia.org/wiki/LAND


3.14 warezmaster.           


盗版软件的主端？？


3.15 imap


攻击者(没有目标机器的用户帐号) 通过网络发送数据包到目标机器利用系统漏洞获取本地访问权限，从而如同系统的本地用户一样操纵目标机器。


一种远程攻击方式，R2L


3.16 rootkit.


Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。


3.17 loadmodule.


攻击者以一般用户(可能通过嗅探 密码，密码字典猜解等方式获得) 的身份登录到目标机器,然后利用系 统漏洞获得系统的管理员 (root) 权限。最常见的攻击方式为缓冲区 溢出。


U2R:User to Root


3.18 ftp_write.               


也是R2L 的一种


3.19 multihop.               


3.20 phf.   


也是R2L的一种，phf是大家所熟悉的了，它本来是用来更新PHONEBOOK的，但是许多管理员对它不了解以至于造成了漏洞。


3.21 perl. 


U2R的一种，脚本扫描的一种


3.22 spy. 


探测类型？？R2L


4. 按照攻击类型和它的分类，结合5个数据例子查看其主要变化的特征


count    494020.000000
mean         47.979400
std         707.747185
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max       58329.000000
Name: duration: continuous., dtype: float64
count     494020
unique         3
top         icmp
freq      283602
Name: protocol_type: symbolic., dtype: object
count     494020
unique        66
top        ecr_i
freq      281400
Name: service: symbolic., dtype: object
count     494020
unique        11
top           SF
freq      378439
Name: flag: symbolic., dtype: object
count    4.940200e+05
mean     3.025616e+03
std      9.882191e+05
min      0.000000e+00
25%      4.500000e+01
50%      5.200000e+02
75%      1.032000e+03
max      6.933756e+08
Name: src_bytes: continuous., dtype: float64
count    4.940200e+05
mean     8.685232e+02
std      3.304003e+04
min      0.000000e+00
25%      0.000000e+00
50%      0.000000e+00
75%      0.000000e+00
max      5.155468e+06
Name: dst_bytes: continuous., dtype: float64
count    494020.000000
mean          0.000045
std           0.006673
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: land: symbolic., dtype: float64
count    494020.000000
mean          0.006433
std           0.134805
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           3.000000
Name: wrong_fragment: continuous., dtype: float64
count    494020.000000
mean          0.000014
std           0.005510
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           3.000000
Name: urgent: continuous., dtype: float64
count    494020.000000
mean          0.034519
std           0.782103
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max          30.000000
Name: hot: continuous., dtype: float64
count    494020.000000
mean          0.000152
std           0.015520
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           5.000000
Name: num_failed_logins: continuous., dtype: float64
count    494020.000000
mean          0.148245
std           0.355343
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: logged_in: symbolic., dtype: float64
count    494020.000000
mean          0.010212
std           1.798328
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max         884.000000
Name: num_compromised: continuous., dtype: float64
count    494020.000000
mean          0.000111
std           0.010551
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: root_shell: continuous., dtype: float64
count    494020.000000
mean          0.000036
std           0.007793
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           2.000000
Name: su_attempted: continuous., dtype: float64
count    494020.000000
mean          0.011352
std           2.012720
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max         993.000000
Name: num_root: continuous., dtype: float64
count    494020.000000
mean          0.001083
std           0.096416
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max          28.000000
Name: num_file_creations: continuous., dtype: float64
count    494020.000000
mean          0.000109
std           0.011020
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           2.000000
Name: num_shells: continuous., dtype: float64
count    494020.000000
mean          0.001008
std           0.036482
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           8.000000
Name: num_access_files: continuous., dtype: float64
count    494020.0
mean          0.0
std           0.0
min           0.0
25%           0.0
50%           0.0
75%           0.0
max           0.0
Name: num_outbound_cmds: continuous., dtype: float64
count    494020.0
mean          0.0
std           0.0
min           0.0
25%           0.0
50%           0.0
75%           0.0
max           0.0
Name: is_host_login: symbolic., dtype: float64
count    494020.000000
mean          0.001387
std           0.037211
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: is_guest_login: symbolic., dtype: float64
count    494020.000000
mean        332.286347
std         213.147129
min           0.000000
25%         117.000000
50%         510.000000
75%         511.000000
max         511.000000
Name: count: continuous., dtype: float64
count    494020.000000
mean        292.907133
std         246.322733
min           0.000000
25%          10.000000
50%         510.000000
75%         511.000000
max         511.000000
Name: srv_count: continuous., dtype: float64
count    494020.000000
mean          0.176687
std           0.380717
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: serror_rate: continuous., dtype: float64
count    494020.000000
mean          0.176609
std           0.381017
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: srv_serror_rate: continuous., dtype: float64
count    494020.000000
mean          0.057434
std           0.231624
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: rerror_rate: continuous., dtype: float64
count    494020.000000
mean          0.057719
std           0.232147
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: srv_rerror_rate: continuous., dtype: float64
count    494020.000000
mean          0.791547
std           0.388190
min           0.000000
25%           1.000000
50%           1.000000
75%           1.000000
max           1.000000
Name: same_srv_rate: continuous., dtype: float64
count    494020.000000
mean          0.020982
std           0.082206
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: diff_srv_rate: continuous., dtype: float64
count    494020.000000
mean          0.028997
std           0.142398
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: srv_diff_host_rate: continuous., dtype: float64
count    494020.000000
mean        232.471230
std          64.744665
min           0.000000
25%         255.000000
50%         255.000000
75%         255.000000
max         255.000000
Name: dst_host_count: continuous., dtype: float64
count    494020.000000
mean        188.666034
std         106.040236
min           0.000000
25%          46.000000
50%         255.000000
75%         255.000000
max         255.000000
Name: dst_host_srv_count: continuous., dtype: float64
count    494020.000000
mean          0.753779
std           0.410781
min           0.000000
25%           0.410000
50%           1.000000
75%           1.000000
max           1.000000
Name: dst_host_same_srv_rate: continuous., dtype: float64
count    494020.000000
mean          0.030906
std           0.109259
min           0.000000
25%           0.000000
50%           0.000000
75%           0.040000
max           1.000000
Name: dst_host_diff_srv_rate: continuous., dtype: float64
count    494020.000000
mean          0.601936
std           0.481309
min           0.000000
25%           0.000000
50%           1.000000
75%           1.000000
max           1.000000
Name: dst_host_same_src_port_rate: continuous., dtype: float64
count    494020.000000
mean          0.006684
std           0.042133
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: dst_host_srv_diff_host_rate: continuous., dtype: float64
count    494020.000000
mean          0.176754
std           0.380593
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: dst_host_serror_rate: continuous., dtype: float64
count    494020.000000
mean          0.176443
std           0.380920
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: dst_host_srv_serror_rate: continuous., dtype: float64
count    494020.000000
mean          0.058118
std           0.230590
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: dst_host_rerror_rate: continuous., dtype: float64
count    494020.000000
mean          0.057412
std           0.230141
min           0.000000
25%           0.000000
50%           0.000000
75%           0.000000
max           1.000000
Name: dst_host_srv_rerror_rate: continuous., dtype: float64
count     494020
unique        23
top       smurf.
freq      280790
Name: Unnamed: 41, dtype: object


高集中度的特征有：


Name: duration: continuous., dtype: float64
Name: flag: symbolic., dtype: object
Name: dst_bytes: continuous., dtype: float64
Name: land: symbolic., dtype: float64
Name: wrong_fragment: continuous., dtype: float64
Name: urgent: continuous., dtype: float64
Name: hot: continuous., dtype: float64
Name: num_failed_logins: continuous., dtype: float64
Name: logged_in: symbolic., dtype: float64
Name: num_compromised: continuous., dtype: float64
Name: root_shell: continuous., dtype: float64
Name: su_attempted: continuous., dtype: float64
Name: num_root: continuous., dtype: float64
Name: num_file_creations: continuous., dtype: float64
Name: num_shells: continuous., dtype: float64
Name: num_access_files: continuous., dtype: float64
Name: is_guest_login: symbolic., dtype: float64
Name: serror_rate: continuous., dtype: float64
Name: srv_serror_rate: continuous., dtype: float64
Name: rerror_rate: continuous., dtype: float64
Name: srv_rerror_rate: continuous., dtype: float64
Name: diff_srv_rate: continuous., dtype: float64
Name: srv_diff_host_rate: continuous., dtype: float64
Name: dst_host_count: continuous., dtype: float64
Name: dst_host_same_srv_rate: continuous., dtype: float64
Name: dst_host_diff_srv_rate: continuous., dtype: float64
Name: dst_host_same_src_port_rate: continuous., dtype: float64
Name: dst_host_srv_diff_host_rate: continuous., dtype: float64
Name: dst_host_serror_rate: continuous., dtype: float64
Name: dst_host_srv_serror_rate: continuous., dtype: float64
Name: dst_host_rerror_rate: continuous., dtype: float64
Name: dst_host_srv_rerror_rate: continuous., dtype: float64




高相关性的特征有：




is_guest_login: symbolic.                         0.843572                                            hot: continuous.  \
num_root: continuous.                                         0.993828                                            num_compromised: continuous.  \
same_srv_rate: continuous.                                       0.898959                                            dst_host_srv_count: continuous.  \
dst_host_same_srv_rate: continuous.                              0.973691                                            dst_host_srv_count: continuous.  \
same_srv_rate: continuous.                                           0.927808                                            dst_host_same_srv_rate: continuous.  \
dst_host_srv_count: continuous.                                      0.973691                                            dst_host_same_srv_rate: continuous.  \
dst_host_serror_rate: continuous.                                   -0.800723                                            dst_host_same_srv_rate: continuous.  \
count: continuous.                                                        0.860579                                            dst_host_same_src_port_rate: continuous.  \
srv_count: continuous.                                                    0.944926                                            dst_host_same_src_port_rate: continuous.  \
serror_rate: continuous.                                           0.998673                                            dst_host_serror_rate: continuous.  \
srv_serror_rate: continuous.                                       0.997835                                            dst_host_serror_rate: continuous.  \
same_srv_rate: continuous.                                        -0.857835                                            dst_host_serror_rate: continuous.  \
dst_host_same_srv_rate: continuous.                               -0.800723                                            dst_host_serror_rate: continuous.  \
dst_host_srv_serror_rate: continuous.                              0.998156                                            dst_host_serror_rate: continuous.  \
serror_rate: continuous.                                               0.997849                                            dst_host_srv_serror_rate: continuous.  \
srv_serror_rate: continuous.                                           0.999304                                            dst_host_srv_serror_rate: continuous.  \
same_srv_rate: continuous.                                            -0.857544                                            dst_host_srv_serror_rate: continuous.  \
dst_host_serror_rate: continuous.                                      0.998156                                            dst_host_srv_serror_rate: continuous.  \
rerror_rate: continuous.                                           0.986995                                            dst_host_rerror_rate: continuous.  \
srv_rerror_rate: continuous.                                       0.982166                                            dst_host_rerror_rate: continuous.  \
dst_host_srv_rerror_rate: continuous.                              0.984804                                            dst_host_rerror_rate: continuous.  \
rerror_rate: continuous.                                               0.985200                                            dst_host_srv_rerror_rate: continuous.  
srv_rerror_rate: continuous.                                           0.986571                                            dst_host_srv_rerror_rate: continuous.  
dst_host_rerror_rate: continuous.                                      0.984804                                            dst_host_srv_rerror_rate: continuous.  

相同服务的比例和相同目标发送syn错误的呈现负相关，可能是因为没有建立服务的缘故？

给出热力图如下：