《大数据架构与设计》课程报告讲解-基于Spark的实时攻击检测.pptxVIP

基于Spark的实时攻击检测

CONTENTS目录背景介绍PART01数据集PART02技术要点PART03总结PART04

背景介绍PARTONE

背景介绍数据集 技术要点 总结1.1分布式拒绝服务攻击SparkStream工作机制分布式拒绝服务攻击(DistributedDenialofService，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。分布式拒绝服务攻击方式在进行攻击的时候，可以对源IP地址进行伪造，这样就使得这种攻击在发生的时候隐蔽性非常好，同时要对攻击进行检测也是非常困难的，因此这种攻击方式也成为了非常难以防范的攻击。

数据集PARTTWO

背景介绍数据集 技术要点 总结2.1数据集介绍SparkStream工作机制数据集来源于Kaggle，该数据集最初是由纽布伦斯威克大学创建的，用于分析DDoS数据。数据集本身基于大学服务器的日志，该日志在整个公开可用期内发现了各种DDoS攻击。

技术要点PARTTHREE

背景介绍数据集 技术要点 总结3.1Flume+Kafka+SparkStreaming框架SparkStream工作机制使用Flume+Kafka架构完成实时流式的日志处理，后面再连接上SparkStreaming流式实时处理技术，从而完成日志实时解析的目标。第一、如果Flume直接对接实时计算框架，当数据采集速度大于数据处理速度，很容易发生数据堆积或者数据丢失，而kafka可以当做一个消息缓存队列，从广义上理解，把它当做一个数据库，可以存放一段时间的数据。第二、Kafka属于中间件，一个明显的优势就是使各层解耦，使得出错时不会干扰其他组件。因此数据从数据源到flume再到Kafka时，数据一方面可以同步到HDFS做离线计算，另一方面可以做实时计算，可实现数据多分发。

背景介绍数据集 技术要点 总结3.2两种预测模型SparkStream工作机制决策树(DecisionTree）是在已知各种情况发生概率的基础上，通过构成决策树来求取净现值的期望值大于等于零的概率，评价项目风险，判断其可行性的决策分析方法，是直观运用概率分析的一种图解法。

背景介绍数据集 技术要点 总结3.2两种预测模型SparkStream工作机制深度学习

背景介绍数据集 技术要点 总结3.3分布式SparkStream工作机制使用Flume+Kafka架构完成实时流式的日志处理，后面再连接上SparkStreaming流式实时处理技术，从而完成日志实时解析的目标。第一、如果Flume直接对接实时计算框架，当数据采集速度大于数据处理速度，很容易发生数据堆积或者数据丢失，而kafka可以当做一个消息缓存队列，从广义上理解，把它当做一个数据库，可以存放一段时间的数据。第二、Kafka属于中间件，一个明显的优势就是使各层解耦，使得出错时不会干扰其他组件。因此数据从数据源到flume再到Kafka时，数据一方面可以同步到HDFS做离线计算，另一方面可以做实时计算，可实现数据多分发。

背景介绍数据集 技术要点 总结3.4数据库与可视化SparkStream工作机制基于Redis和Mysql：Redis是一个开源的、基于内存的数据结构存储器，可以用作数据库、缓存和消息中间件。基于Redis做了一个布隆过滤器，它实际上是一个很长的二进制向量和一系列随机映射函数。布隆过滤器可以用于检索一个元素是否在一个集合中。它的优点是空间效率和查询时间都比一般的算法要好的多，缺点是有一定的误识别率和删除困难。当布隆过滤器说某个值存在时，那可能就不存在，如果说某个值不存在时，那肯定就是不存在了，所以在这次实验中用来判断进行攻击的IP是否存在。

谢谢大家