高速网络环境下的入侵检测系统研究.pdf

高速网络环境下的入侵检测系统的研究 高速网络环境下的入侵检测系统的研究 摘要 Intemet的蓬勃发展，网络已经在人们的日常生活中扮演着越来 越重要的角色。但是，随之而来的网络攻击手段也愈来愈复杂化、多 元化、智能化。如何保证网络不受网络攻击入侵破坏受到人们的重视。 入侵检测作为一种能够主动发现攻击行为的技术，有效地弥补了防火 墙技术等传统安全防护技术的缺陷。 随着不断增大的网络规模和网络流量，传统的入侵检测系统结构 暴露出越来越多的局限性和缺陷，如工作量大、响应速度慢、处理能 力不足问题和单点失效问题。本文设计了一个基于Hadoop集群的分 布式入侵检测系统。采用分布式的三层体系结构：检测代理为第一层， 负责检测入侵行为产生安全事件；数据收集器为第二层，处理第一层 的数据：基于Hadoop集群构建的监控中心位于第三层。 首先，本文介绍了入侵检测的定义、重要性和方法。分析了高速 网络环境下的入侵检测系统所面临的主要问题和影响因素。随后，重 点介绍了常见的三种分布式入侵检测系统的架构：集中分布式、层次 分布式和对等协作式，并且研究比较了它们三者之间的优势和缺点。 再后，本文研究分析了Had00p集群技术，对它的两大核心技术Ⅷ)FS T 高速网络环境下的入侵检测系统的研究 分布式文件系统和M印Reduce并行编程模型进行了细致的研究。 然后，文章讨论了本系统的整体架构设计。并分析了系统组件的 功能设计以及架构设计中的关键技术。再后，讨论了本系统的几个关 键组件设计与实现。 最后，论文提出了一种基于MapReduce编程模型的FP．Gro、Ⅳth 算法，用于解决在传统的关联规则算法无法处理海量入侵记录的问题。 该算法的核心思想是：将无法基于内存构建的FP．树分解为多棵FP． 子树，通过对子树的挖掘，得到全局的频度模式。根据实验结果，该 算法在处理规模较大的数据时，随着计算节点的增加，算法性能也呈 线性比例提升。 关键字：分布式入侵检测、层次分布式、Hadoop集群、MapReduce 编程模型、关联规则算法 II 高速网络环境下的入侵检测系统的研究 SYSTEMFoRHIGH—SPEED ANINTRUSIoNDETECTIoN ABSTRACT The ofht锄etmakes network in mpiddeVelopment computcr play锄inlp讲谢role liVes．At tlle tlles锄e daily tilne，caused intell塘朗∞ people’s byⅡleVariabili％tI怆complic时锄d oftllenetworkatt∞k of玳棚ork memods，tIle importance secur时anractsiIlcre舔ingpeople’s con吲mwrhile tllenet、vod【．As锄active theya托“liziIlg iIlfb咖ati吼s∞ur时protecti∞meⅡlod， mn塔i蚰det∞donmal(esf-0rⅡle men丽itional up di跚玉v{m怔喀既of s剃rit)rtecIlnology(鲫ch鹤 血ewan tech∞log”e妇硫tively．