基于Hadoop集群的分布式入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)_謝天宇
隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展, 使得計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用面臨了 愈來(lái)愈嚴(yán)重和復(fù)雜化的安全問(wèn)題。與此同時(shí)各種信息安全技術(shù) 也在進(jìn)一步發(fā)展,各種安全技術(shù)或方案相繼涌現(xiàn)和發(fā)展。入侵檢 測(cè)技術(shù), 作為繼防火墻之后的第二道安全防線, 具有重要的地 位。 傳統(tǒng)的入侵檢測(cè)技術(shù),局限于單一主機(jī)或網(wǎng)絡(luò)結(jié)構(gòu)。隨著網(wǎng) 絡(luò)應(yīng)用的廣泛和互連網(wǎng)絡(luò)自身的分布異構(gòu)性, 網(wǎng)絡(luò)入侵與攻擊 的方式已經(jīng)變得越來(lái)越隱蔽,且趨于多樣性、分布化和協(xié)同化。 因此,入侵檢測(cè)系統(tǒng)也需要滿足跨平臺(tái)、可復(fù)用、易擴(kuò)充、協(xié)同檢 測(cè)等新的應(yīng)用需求。所以,研究利用分布式技術(shù),實(shí)現(xiàn)分布式入 侵檢測(cè)系統(tǒng)是非常有意義的。 此外, 現(xiàn)有的分布式系統(tǒng)一般采取將多個(gè)審計(jì)記錄的數(shù)據(jù) 傳送到一個(gè)中心分析引擎或是通過(guò)逐層過(guò)濾、分析的方式將相 關(guān)信息傳送到根節(jié)點(diǎn)進(jìn)行分析,如 AAFID[1]和 EMERALD。雖然 這種方式利用分布在網(wǎng)絡(luò)中的傳感器擴(kuò)大了數(shù)據(jù)源的范圍,但 最終的數(shù)據(jù)分析卻是集中進(jìn)行的。這樣做帶來(lái)的問(wèn)題有兩個(gè):一 是整個(gè)系統(tǒng)有一個(gè)中心控制點(diǎn), 該點(diǎn)的失效將導(dǎo)致整個(gè)系統(tǒng)失 效; 二是集中進(jìn)行數(shù)據(jù)分析使負(fù)載集中在承擔(dān)分析工作的主機(jī) 上,限制了系統(tǒng)的可擴(kuò)展性與效率的提高。