基于Hadoop集群的分布式入侵檢測系統(tǒng)的設計與實現(xiàn)_謝天宇
隨著計算機網(wǎng)絡的迅速發(fā)展, 使得計算機網(wǎng)絡應用面臨了 愈來愈嚴重和復雜化的安全問題。與此同時各種信息安全技術(shù) 也在進一步發(fā)展,各種安全技術(shù)或方案相繼涌現(xiàn)和發(fā)展。入侵檢 測技術(shù), 作為繼防火墻之后的第二道安全防線, 具有重要的地 位。 傳統(tǒng)的入侵檢測技術(shù),局限于單一主機或網(wǎng)絡結(jié)構(gòu)。隨著網(wǎng) 絡應用的廣泛和互連網(wǎng)絡自身的分布異構(gòu)性, 網(wǎng)絡入侵與攻擊 的方式已經(jīng)變得越來越隱蔽,且趨于多樣性、分布化和協(xié)同化。 因此,入侵檢測系統(tǒng)也需要滿足跨平臺、可復用、易擴充、協(xié)同檢 測等新的應用需求。所以,研究利用分布式技術(shù),實現(xiàn)分布式入 侵檢測系統(tǒng)是非常有意義的。 此外, 現(xiàn)有的分布式系統(tǒng)一般采取將多個審計記錄的數(shù)據(jù) 傳送到一個中心分析引擎或是通過逐層過濾、分析的方式將相 關信息傳送到根節(jié)點進行分析,如 AAFID[1]和 EMERALD。雖然 這種方式利用分布在網(wǎng)絡中的傳感器擴大了數(shù)據(jù)源的范圍,但 最終的數(shù)據(jù)分析卻是集中進行的。這樣做帶來的問題有兩個:一 是整個系統(tǒng)有一個中心控制點, 該點的失效將導致整個系統(tǒng)失 效; 二是集中進行數(shù)據(jù)分析使負載集中在承擔分析工作的主機 上,限制了系統(tǒng)的可擴展性與效率的提高。