日韩成人黄色,透逼一级毛片,狠狠躁天天躁中文字幕,久久久久久亚洲精品不卡,在线看国产美女毛片2019,黄片www.www,一级黄色毛a视频直播

一種基于Hadoop的分布式入侵檢測系統(tǒng)的制作方法

文檔序號:9624125閱讀:710來源:國知局
一種基于Hadoop的分布式入侵檢測系統(tǒng)的制作方法
【技術(shù)領域】
[0001] 本發(fā)明設及計算機網(wǎng)絡安全領域,尤其設及一種基于化doop的分布式入侵檢測 系統(tǒng)。
【背景技術(shù)】
[0002] 傳統(tǒng)的入侵檢測系統(tǒng)因難W處理日益增長的海量網(wǎng)絡數(shù)據(jù),系統(tǒng)性能下降,丟包 率增加,檢測率降低,已無法滿足人們的安全需求。分布式入侵檢測系統(tǒng)值istributed Instruction Detection System, DID巧采用分布式結(jié)構(gòu)進行數(shù)據(jù)采集和并行處理,有效提 高了在高速網(wǎng)絡環(huán)境下的入侵檢測效率,已成為目前入侵檢測技術(shù)研究的主流。然而,現(xiàn)有 DIDS存在系統(tǒng)架構(gòu)不合理、接口標準化低、關鍵算法不完善等問題,運降低了 DIDS的并行 處理能力和系統(tǒng)的互操作性,阻礙了其能力的發(fā)揮,不能有效提高系統(tǒng)的檢測率。
[0003] 化doop是Apache軟件基金會下的一個分布式計算框架,主要組件包括皿FS、 MapReduce、ZooKeeper、Pig、HIVE、皿ase 等。其中,皿FS(Hadoop Distributed File System)和MapRe化Ce是化doop的兩項關鍵技術(shù)。皿FS是一個分布式的文件系統(tǒng),它為分 布式計算模型提供底層的存儲支持。MapRe化Ce是一個分布式的計算模型,可W方便地實現(xiàn) 任務的分解和并行化處理?;痙oop能夠處理TB或PB級別的海量數(shù)據(jù)。目前,越來越多企 業(yè)和研究機構(gòu)的項目圍繞著化doop核屯、框架展開。將化doop技術(shù)運用于入侵檢測,可W 利用其框架較好地實現(xiàn)分布式入侵檢測系統(tǒng)的部署,獲得強大的分布式數(shù)據(jù)處理和并行計 算能力支持,提高系統(tǒng)性能,降低丟包率,提高檢測率。

【發(fā)明內(nèi)容】

[0004] 本發(fā)明的目的是針對現(xiàn)有DIDS存在的問題,提供一種基于化doop的分布式入侵 檢測系統(tǒng),該系統(tǒng)主要包括兩個部分:一是提出一種高效的基于能力與負載的數(shù)據(jù)分割算 法,實現(xiàn)海量數(shù)據(jù)的有效分割和數(shù)據(jù)分配;二是提出一種基于化doop的分布式入侵檢測體 系結(jié)構(gòu),實現(xiàn)入侵檢測系統(tǒng)各模塊的分布式部署和數(shù)據(jù)并行處理,并W提出的算法作為系 統(tǒng)的任務調(diào)度器進行數(shù)據(jù)分割,實現(xiàn)海量數(shù)據(jù)的分布式處理,提高入侵檢測效率,維持負載 均衡。 陽0化]算法方面,基于對數(shù)據(jù)分析子結(jié)點的狀態(tài)監(jiān)控信息,計算結(jié)點的數(shù)據(jù)處理能力和 負載;根據(jù)系統(tǒng)對不同應用層協(xié)議數(shù)據(jù)的分類檢測思想,將數(shù)據(jù)分析子結(jié)點進行分組,計算 各分組的平均負載;針對各分組的負載情況,建立過載隊列和輕載隊列,若檢測出現(xiàn)連續(xù)過 載則報警,并根據(jù)分組待處理數(shù)據(jù)量大小對過載隊列中的分組進行過濾;采用一種動態(tài)負 載均衡的策略,針對過載隊列中的分組,從輕載的分組中選擇合適的結(jié)點進行遷移,維持系 統(tǒng)負載均衡;若無輕載分組,則降低過載隊列中各分組待處理的數(shù)據(jù)集;針對動態(tài)負載均 衡調(diào)整后的結(jié)點分組,在組內(nèi)根據(jù)結(jié)點的數(shù)據(jù)處理能力和負載情況,從分組待處理的數(shù)據(jù) 集中分割相適應的數(shù)據(jù)子集,分配給各結(jié)點進行并行處理,有效發(fā)揮結(jié)點的能力,提高系統(tǒng) 效率,維持系統(tǒng)負載均衡。
[0006] 體系結(jié)構(gòu)方面,本發(fā)明利用化doop架構(gòu)帶來的高性能、接口標準規(guī)范、良好的互 操作性等特點,實現(xiàn)入侵檢測系統(tǒng)的分布式部署及系統(tǒng)各模塊的通信與數(shù)據(jù)傳輸。
[0007] 實現(xiàn)本發(fā)明目的的技術(shù)方案為:
[0008] 一種基于化doop的分布式入侵檢測系統(tǒng)包括:數(shù)據(jù)采集模塊、數(shù)據(jù)存儲模塊、控 制中屯、和數(shù)據(jù)分析模塊,其中控制中屯、包括系統(tǒng)管理模塊、系統(tǒng)監(jiān)控模塊、任務調(diào)度模塊和 報警響應模塊;
[0009] 數(shù)據(jù)采集模塊由分布在網(wǎng)絡上的多個相互獨立的傳感器組成,通過傳感器實現(xiàn)網(wǎng) 絡數(shù)據(jù)的捕獲和處理后,將采集的數(shù)據(jù)上傳至數(shù)據(jù)存儲模塊的皿FS數(shù)據(jù)子結(jié)點,即存儲至 皿FS數(shù)據(jù)集中;
[0010] 所述傳感器的工作步驟為:首先,通過網(wǎng)絡監(jiān)聽采集所在網(wǎng)絡的原始數(shù)據(jù)包;其 次,解析數(shù)據(jù)包,計算數(shù)據(jù)包的唯一連接標識;第=,識別數(shù)據(jù)包的傳輸協(xié)議標識并進行數(shù) 據(jù)處理,將數(shù)據(jù)包存儲在W唯一連接標識命名的數(shù)據(jù)文件中;第四,按照數(shù)據(jù)包的應用層協(xié) 議標識,將數(shù)據(jù)文件分類存儲到傳感器初始化時設置的目錄結(jié)構(gòu)中;最后,按照指定的周期 將采集的數(shù)據(jù)WFTP方式上傳至本系統(tǒng)的皿FS數(shù)據(jù)子結(jié)點,進行分類存儲;
[0011] 皿FS數(shù)據(jù)子結(jié)點通過MapRe化Ce機制,向任務調(diào)度模塊的結(jié)點Master提交數(shù)據(jù)檢 測分析的任務;
[0012] 系統(tǒng)監(jiān)控模塊對分布式化doop集群各結(jié)點的狀態(tài)監(jiān)控,記錄監(jiān)控結(jié)果,并將結(jié)果 存儲到數(shù)據(jù)存儲模塊的皿ase數(shù)據(jù)庫,為任務調(diào)度提供任務分配決策支持;同時,完成對報 警響應顯示,并實現(xiàn)對系統(tǒng)的管理配置;
[0013] 任務調(diào)度模塊根據(jù)系統(tǒng)監(jiān)控獲取的結(jié)點狀態(tài)和待處理數(shù)據(jù)的規(guī)模大小,根據(jù)設計 的基于能力與負載的數(shù)據(jù)分割算法將大數(shù)據(jù)分割成數(shù)據(jù)子集,合理地將數(shù)據(jù)子集分發(fā)給不 同數(shù)據(jù)分析子結(jié)點進行并行數(shù)據(jù)檢測分析,最后把各個數(shù)據(jù)分析子結(jié)點的處理結(jié)果進行匯 集;
[0014] 數(shù)據(jù)分析模塊中的數(shù)據(jù)分析由分布在化doop集群中的多個數(shù)據(jù)分析子結(jié)點并行 完成,數(shù)據(jù)分析子結(jié)點根據(jù)任務調(diào)度模塊中所分配的數(shù)據(jù)子集地址信息,從對應的皿FS數(shù) 據(jù)子結(jié)點上讀取由傳感器采集并上傳的數(shù)據(jù)子集,根據(jù)建立的特征檢測規(guī)則集進行數(shù)據(jù)檢 測分析;
[0015] 報警響應模塊中由報警響應結(jié)點并行接收數(shù)據(jù)分析子結(jié)點傳送的入侵檢測結(jié)果, 存儲到皿ase中;并對非法入侵行為進行報警響應,在系統(tǒng)監(jiān)控的界面中顯示報警信息;
[0016] 系統(tǒng)管理模塊采用Web方式完成化doop集群的配置、用戶管理、日志查詢功能。 陽017] 具體地,系統(tǒng)各模塊如下:
[0018] A)數(shù)據(jù)采集模塊由傳感器實現(xiàn)網(wǎng)絡數(shù)據(jù)的分布式并行采集,并將采集的數(shù)據(jù)按連 接進行分離,再分類提交到皿FS數(shù)據(jù)子結(jié)點,W便進行數(shù)據(jù)檢測分析處理。傳感器工作步 驟如下:
[0019] (1)配置與本傳感器最近的皿FS數(shù)據(jù)子結(jié)點的連接信息,由于傳感器采用FTP協(xié) 議進行數(shù)據(jù)傳輸,皿FS數(shù)據(jù)子結(jié)點也作為一個FTP服務器存在,連接信息包括結(jié)點名稱、IP 地址、用戶名和密碼、目錄;
[0020] (2)啟動傳感器進行監(jiān)聽,采集結(jié)點所在網(wǎng)絡的原始數(shù)據(jù)包;
[0021] (3)解析數(shù)據(jù)包,計算數(shù)據(jù)包的唯一連接標識。從數(shù)據(jù)包中提取四元組 < 源IP地 址,源端口,目的IP地址,目的端口〉,采用哈希函數(shù)計算該四元組的哈希值,并將其作為數(shù) 據(jù)包的唯一連接標識IDJlash ;
[0022] (4)識別數(shù)據(jù)包傳輸協(xié)議標識并進行數(shù)據(jù)處理,按IDJlash進行數(shù)據(jù)存儲。提取數(shù) 據(jù)包的傳輸協(xié)議標識,針對TCP協(xié)議標識的數(shù)據(jù)包,采用TCP流重組的方式進行數(shù)據(jù)重組, W IDJlash作為TCP連接的唯一標識,結(jié)合數(shù)據(jù)包中的連接序號,將捕獲的數(shù)據(jù)包還原成一 個個完整的數(shù)據(jù)鏈,實現(xiàn)正確的TCP流重組,并將具有同一 IDJlash的數(shù)據(jù)存儲在同一個W IDJlash命名的txt文件中;對于非TCP協(xié)議的數(shù)據(jù),同樣存儲在同一個W IDJlash命名的 txt文件中。將所有具有相同IDJlash的數(shù)據(jù)存儲在同一個文件中,可將分解到多次的訪問 中的攻擊匯集在一起,而在后續(xù)的數(shù)據(jù)分割中W文件為單位進行數(shù)據(jù)分割,避免將包含同 一攻擊的數(shù)據(jù)分發(fā)到兩個或多個檢測結(jié)點分別處理而破壞數(shù)據(jù)的完整性,降低系統(tǒng)的漏報 率.
[0023] (5)數(shù)據(jù)分類存儲。根據(jù)數(shù)據(jù)包中的應用層協(xié)議標識,將WIDJlash命名的txt文 件按照應用層協(xié)議標識,存儲在傳感器初始化時根據(jù)不同應用層協(xié)議分別建立的W應用層 協(xié)議標識命名的目錄下,不能識別應用層協(xié)議類型的數(shù)據(jù)存儲在一個缺省目錄中;
[0024] (6)傳感器采用FTP協(xié)議,按照設置的周期將存儲的數(shù)據(jù)文件及其目錄結(jié)構(gòu)上傳 至配置好的皿FS數(shù)據(jù)子結(jié)點上,并清除已經(jīng)完成上傳的數(shù)據(jù)文件。
[0025] B)數(shù)據(jù)存儲模塊用于對系統(tǒng)所產(chǎn)生的各種數(shù)據(jù)進行存儲管理。本系統(tǒng)的數(shù)據(jù)存儲 方式有多種,包括在皿FS、皿ase和MyS化數(shù)據(jù)庫上的存儲。皿FS存儲由多個傳感器采集 并上傳的數(shù)據(jù)文件;皿ase存儲入侵特征規(guī)則庫、系統(tǒng)監(jiān)控對化doop集群監(jiān)測的結(jié)點狀態(tài) 信息、非法入侵數(shù)據(jù)檢測結(jié)果;MyS化存儲用戶信息和系統(tǒng)相關配置信息等;具體如下: [00%] (1)皿FS分布式文件存儲。采用分布式方式,在多個皿FS數(shù)據(jù)子結(jié)點上,采取就近 原則,存儲由多個分布的傳感器結(jié)點所采集、解析并分類存儲的數(shù)據(jù)。運些數(shù)據(jù),將在系統(tǒng) 后續(xù)處
當前第1頁1 2 3 4 5 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1