面向分布式IDS的海量數(shù)據(jù)存儲系統(tǒng).pdf

1、隨著計算機網(wǎng)絡的發(fā)展,網(wǎng)絡攻擊也在迅速發(fā)展,網(wǎng)絡安全越來越受到人們的重視和關注.能夠檢測和處理網(wǎng)絡攻擊的入侵檢測系統(tǒng)(IDS)作為一種重要的安全部件,也得到了長足的進步.IDS需要保存和處理它檢測生成的數(shù)據(jù)以得到可信的結(jié)論,數(shù)據(jù)的規(guī)模和種類隨著網(wǎng)絡流量的增大和網(wǎng)絡攻擊的發(fā)展而增加,達到一定程度以后就形成了海量數(shù)據(jù),需要改進數(shù)據(jù)的組織管理模式以適應海量數(shù)據(jù)的特征.為了在多個位置追蹤大空間跨度的入侵,出現(xiàn)了分布式的IDS,因此引入了IDS節(jié)

2、點間的協(xié)同問題.另外,為了增強入侵檢測的準確性和效率,可以使用數(shù)據(jù)挖掘的方法對海量數(shù)據(jù)進行處理,以得到某些能夠?qū)DS的檢測或處理過程起到輔助作用的信息.本論文的主要工作是為分布式入侵檢測系統(tǒng)COMON設計海量數(shù)據(jù)存儲系統(tǒng).系統(tǒng)位于入侵檢測模塊的下游,主要功能是:為檢測器Monster與中央分析器RAIRS提供高效可靠的本地數(shù)據(jù)存儲、管理和查詢能力;在Monster和RAIRS之間實現(xiàn)安全通用的數(shù)據(jù)協(xié)同傳輸功能;實現(xiàn)基于分布式攻擊數(shù)據(jù)的

3、數(shù)據(jù)挖掘功能,增強系統(tǒng)的預警能力和檢測能力.論文分為六章.第一章對入侵檢測、分布式IDS和協(xié)同、數(shù)據(jù)挖掘技術及其在IDS中的應用進行了概述,并介紹了本文的實現(xiàn)背景--COMON分布式IDS的體系結(jié)構(gòu),確定了論文的工作目標.第二章分析了DIDS海量數(shù)據(jù)的特征,并運用數(shù)據(jù)倉庫的理論為數(shù)據(jù)建立多維模型,分析了模型的參數(shù),設計了COMON系統(tǒng)中海量數(shù)據(jù)存儲的總體結(jié)構(gòu).第三章至第五章分別對具體的實現(xiàn)模塊進行敘述.第三章首先給出了Monster和R

4、AIRS中的數(shù)據(jù)類型、格式定義和關聯(lián)關系,然后講述了在海量數(shù)據(jù)情況下數(shù)據(jù)庫存儲和文件存儲的優(yōu)化方案,進行了性能分析,最后提出了兩種數(shù)據(jù)自動化管理算法:簡單生命期算法和基于管理規(guī)則加權的算法.第四章主要關心數(shù)據(jù)的協(xié)同傳輸問題,分析了COMON系統(tǒng)中的協(xié)同需求,運用SETRAPL安全傳輸平臺作為底層模塊,設計協(xié)同通道和數(shù)據(jù)傳輸格式,進行分析評價.第五章探討了數(shù)據(jù)挖掘技術在IDS中的應用,分別設計了冗余消除模式挖掘、攻擊趨勢分析和頻繁意圖串挖