基于分布式数据库的入侵检测系统.docxVIP

基于分布式数据库的入侵检测系统 Intrusion Detection System Based on Distributed Database ZHAO Liang, WANG Guo-an (Henan University, Kaifeng *****, China) Abstract: Intrusion Detection System (IDS) is a research hotspot in the current computer world, but the numerous design proposals emphasis on improvements in the algorithm, in the practical applications IDS technology is still immature which is facing a bottleneck. Distributed database (DDB) makes the system greatly enhanced in the efficiency of access to data because of its characteristics, so if combining DDB with IDS will be able to improve the performance of IDS effectively. According to this thinking, IDS based on DDB resolves a range of issues from design method, storage pattern, data processing to practical application, and this shows the development prospects of IDS is very broad, and attempts through the partial optimization may enhance its application effect effectively. Key words:intrusion detection; IDS; event database; DDB 入侵检测作为有效的网络安全技术已经发展了二十多年,一直以来它都倍受关注,如今已经发展成为计算机界研究的热点问题之一。在当前计算机每时每刻都有遭受攻击的危险下,如何避免系统崩溃、数据丢失已经成为关系企业利益和国家安全的重要课题,因此围绕入侵检测不断涌现出许多新思维、新方法和新技术。本文在入侵检测系统的基础上,把分布式数据库技术运用于事件数据库中,改善入侵检测系统的性能,提高入侵检测系统响应的及时性和准确率。 1 入侵检测与入侵检测系统 入侵检测(Intrusion Detection)指对入侵行为的发现、报警和响应,它通过收集计算机网络或计算机系统中若干关键点的信息,并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。 入侵检测系统(Intrusion Detection System,IDS)是完成入侵检测功能的软件、硬件的集合。它作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。 入侵检测系统可以分为四个组件:事件产生器(Event generators)、事件分析器(Event analyzers)、响应单元(Response units)和事件数据库(Event databases)。事件产生器的功能是从整个计算环境中捕捉事件信息,并向系统的其他组件提供该事件数据。事件分析器的功能是分析得到的事件数据,并产生分析结果。响应单元的功能是对分析结果作出反应,可以是切断连接、改变文件属性,也可以只是报警。事件数据库是存放各种中间和最终数据的设备统称,功能是指导事件的分析及反应。 2 分布式数据库技术 分布式数据库是络技术的高级紧密结合,是物理上分散在计算机网络各节点上,而逻辑上属于同一个系统的数据集合。网络中的每个节点具有独立处理数据的能力,可以执行局部应用,同时也能通过网络执行全局应用。分布式数据库系统具有物理分布性、逻辑整体性、站点自治性、数据独立性、集中与自制相结合的控制机制、适当增加数据冗余等特点。因此分布式数据库提高了系统的可靠性、可用性和改善了系统的性能。 在分布式数据库中,数据存储通过以下三种途径实现: 1) 复制系统维护关系的几个完全相同的副本,各个副