2013年第11期
信息技术
科技创新与应用
云计算在病毒入侵检测技术中的应用
陈妙霞1
衷田田2
(韩山师范学院,广东潮州515633)
1引言目前,病毒防护技术主要有:防火墙、网络入侵检测、杀毒软件等。
这些防护系统已经无法快速、及时地处理日益增长的安全问题。例如,当入侵者获得访问权限或直接跳过防火墙对网络进行攻击,防火墙就形同虚设了。随着各种类型的病毒的迅速递增,计算机和网络中消耗的内在特征文件也在飞速增长。在存在大型的数据流量的网络系统中,很容易形成IDS 瓶颈。
2云计算在病毒入侵检测技术中的应用新一代的云计算技术拥有的:“容低性”、“综合性”、“高容错性”的性能恰好能够解决传统防护方法的弊端,为病毒防护技术提供了新的途径和思路。无论多先进的网络防护方式都无法使网络绝对的安全,而面对多而复杂的网络问题,出现相同不安全因素往往会多
次。因此对网络入侵的数据进行简化归类,
明确入侵方向而采取相应的防御措施就显得非常重要了。在此利用“云技术”对网络入侵的数据进行简化归类,明确入侵方向的方法来改进传统的病毒入侵检测系统:
2.1构建云,在多台Linux 中安装Hadoop 。
2.2设计关键程序及算法。设计Map-Reduce 程序以及相关算法使其能够对警报信息进行整合,出相似信息,明确入侵方向。
2.3用分布式数据库Hbase 用于存储完成整合后的数据。2.4通过Map-Reduce 算法对警报数据进行统计、分析、排序,得出需要优先处理的警报,再把分析处理完成的结果。
2.5利用apache web 服务器及PHP 网页脚本语言以网页形式呈现。
一般入侵行为数据量大,且相似性高,而云计算中Map-Reduce 的最大优点是能够对大量相似信息的进行处理,所以再用mapper 函数提取每条数据中的IP 地址,包括源IP (src_ip )和目的IP (dst_ip )作为Key 值,并记录数据中的时间、优先级、端口等信息,而后用reducer 函数汇总,统计出该警报数据的次数,记录下相关信息作为入侵行为判断的依据。
本论文将snort 网络入侵检测系统所产生的入侵警报日志,上传至hadoop 平台中,通过Map/Reduce 进行计算处理,对警报数据进行统计、分析、排序,得出需要优先处理的警报,再把分析处理完成的结果,利用apache web 服务器及PHP 网页脚本语言以网页形式呈现。以便系统管理者能够直观全面了解网络的安全情况。结构图
如图1。
图1云计算在病毒入侵检测体技术中的结构图根据以上原理,我们可以画出它的流程图如图2:3实验的搭建
具体的实验在韩山师范学院陶瓷学院现有的综合机房实现。
实验运行的环境为校内网速1G ,外网速100M 的宽带网络,来构建Hadoop 云计算实验平台。我们使
用6台普通PC 机,其中1台为主节点,5台为从节点,工作于一台24口网络交换机下。在每台电脑上安装VMware Workstation ,通过VMware Workstation 虚拟出一台计算机,在这些计算机安装有RedHat Linux9.0操作系统,Hadoop -0.20.2、Java -1.6.0_26、hbase -0.90.4,因为hbase 需使用zookeeper 实例为集状态提供授权,所以还要安装zookeeprer ,这里选用3.3.3版本。
整个云计算在摘
要:随着IT 行业的迅速发展,传统的病毒防护系统已经无法快速、及时地处理与日俱增的安全问题。而新一代的云计算技术
恰好能够解决传统防护方法的弊端,为病毒防护技术提供了新的途径和思路。文章建立云计算在病毒入侵检测模型,通过实验
在机房试运行。该系统模型能够有效运用云计算的强大性能,对于外来相似或者有关联的病毒进行归类,把复杂的入侵因素进行简化,明确入侵方向,降低防护难度。关键词:云计算;Map/Reduce ;病毒入侵检测技术图2系统流程图本文研究了Nakagami 信道下,协作通信系统中,基于机会中继
选择方案的功率分配算法。给出了以最小化系统误码率为目标的非线性优化模型,在此凸优化的最佳功率分配算法基础上,提出了一种次优功率分配算法,该算法可通过一次计算得到功率分配因子,计算简单,复杂度大幅降低。本文提出算法的性能和最优功率分配算法的结果非常接近,且此方法只与信道平均增益相关,因此,各节点不需要实时地更新信道状态信息,降低了算法实现的复杂度,而且,采用与实际测试更符合的Nakagami 信道,对于实际通信系统更有价值。
参考文献
[1]Gomez -Cuba F,Asorey -Cacheda R,Gonzalez -Castano F.A Survey on Cooperative Diversity for Wireless Networks[J].IEEE Communica -tions Surveys &Tutorials,2011.
[2]李国兵,朱世华.最佳中继协作通信系统的功率分配算法.电子学报,2008.
[3]吴素文,吕星哉,朱进康.基于信道统计特性的中继选择算法.电子与信息学报,2009.
作者简介:汤艳丽(1979.09-),女,现职称:助教,研究方向
:
主研电子电气方面。
图2误码率性能比较
39--
2013年第11期
信息技术
科技创新与应用
病毒入侵检测技术中的搭建配置过程如下:
(1)在6台计算机上分别安装linux ,并对每台计算机进行命名,其中1台为主节点机命名为hadoop ,即此台作为分布式文件系
统HDFS 的NameNode 及MapReduce 运行过程中的JobNode 。
其余5台计算机作为HDFS 的DataNode 及MapReduce 的TaskNode ,这些节点分别命名为hadoop1、hadoop2、hadoop3、hadoop4、hadoop5,将各台计算机连接到交换机上,同时配置每台机器的/etc/hosts 目录。调试确保各计算机间的网络畅通,IP 地址与计算机名之间解析正确,从任一台计算机都可以ping 通其它计算机的计算机名。
(2)通过ssh-keygen 生成PCI 的密钥对,然后将PCI 的公钥拷贝至各计算机的home/ssh 目录下的authorized 文件中,使得从PCI 来完成到各计算机的ssh 无密码登陆。
(3)安装jdk 后,通过调试保证jdk 能正常工作。
(4)配置hadoop 中的hadoop-env.sh ,并修改其jdk 路径,修改masters 内容为hadoop ,修改slaves 文件内容为hadoop1-hadoop5。
(5)配置l 文件,该配置文件是hadoop 中的主要配置文件。
(6)配置l 文件。
以上配置文件完成了HDFS 中Namenode 的位置、MapReduce 中的JobTraker 的位置的配置。同时所有的配置文件必须拷贝到每一台计算机中。配置好系统后,使用start-all.sh 启动云。
(7)安装hbase-0.90.4。配置hbase 服务器名称,编辑regionservers 文件,加入hadoop1-hadoop5。完成后,将所有文件复制到各台子机,然后启动hbase 。(8)安装zookeeper3.3.3。在/zookeeper/conf 文件夹下创建配置文件zoo.cfg 。
apache 服务器的安装:
(1)进入woke 目录下:cd /usr/local/work 。(如没有则自己新建,命令:mkdir /usr/local/woke )(2)在woke 目录下从网站下载apache 并解压:
Wget dev.xiaonei/apache -mirror/httpd/httpd -2.0.
解压:tar zxvf httpd-2.0. 。(3)进入httpd-2.0.63目录:cd httpd-2.0.63。(4)建立makefile ,并将Apache 安装到/usr/local/apache2目录下:./configure -prefix =/usr/local/apache2-enable -module =so (/configure 前有一个点“.”的)。
(5)开始编译:make 。
(6)开始安装Apache 到work 目录中:make install 。
(7)至此Apache 的安装工作完成,可以在每次启动系统时通过如下命令启动或重新启动Apache 服务:
/usr/local/apache2/bin/apachectl start /usr/local/apache2/bin/apachectl restart 。4实验结果
实验结果如图3:
图3云计算在病毒入侵检测技术平台VDS 页面
经过云计算环境下的病毒入侵检测系统算法的分析后,可以从病毒防护平台上查看发生恶意入侵的源IP ,被攻击目标的IP ,攻击的起始时间,结束时间,发起攻击的方式,并从严重性中提醒安全管理员需要优先处理的安全问题,利用病毒防护平台页面,还可以将部署在不同网络的IDS 警报数据上传到系统中进行分析;透过Snort 报警ID ,链接到Snort 报警ID 网站,便可以从网站上了解到对该ID 代表攻击详细内容的描述,如图4所示。
在病毒入侵检测系统运用云计算算法基本实现了对警讯的来
xml技术的主要应用源、目的、攻击事件综合分析。通过病毒防护平台可以让系统管理者快速掌握攻击事件的始末,了解
恶意代码的类型,便于从源头出云中出现安全问题的所在,可以解决在云端中数据过于庞大,杂乱,不容易出关键问题所在的难题,而且利用SnortID 可以清楚判断攻击方式,云端安全防护系统改变传统分析处理报警信息的方式来处理云端安全问题的方式,减少了系统管理者在出现恶意入侵攻击时的反应时间,提高处理云端安全问题的效率。
5实验过程出现的问题分析
实验过程中影响实验进程的问题主要有以后几个:5.1错误代码。
子节点datanode 无法启动,经分析,其原因是在将dfs.name.dir 的路径设置在新加入硬盘中,没有将文件夹的所有权赋予hadoop 用户,造成tmp 文件无法创建,在查询hadoop 运行状态时,只有主节点,没检测到其他5个子节点。修改5个子节点中文件夹权限后,问题解决。
5.2在实验开始时,出现对数据重复处理的现象,造成有Failed job 出现,是由于程序编写时,未考虑将原有数据移出原有hdfs 中文件夹造成的。在将数据移出后,程序正常。
5.3同时,还发现runjob 进程存在,而且无法使用Kill 命令结束,停止Hadoop 服务也无法结束进程,只能从任务管理器中将进程杀死。
5.4下图是数据送入Map/Reduce 中进行处理时,两个Job 运行时间对照,算法Inergerate Alert job 受
数据大小的影响比较明显,算法Merge Extended Alert Job 在处理经过Inergerate Alert 分析后的数据没有明显的变化。
6结束语
文章所构建云计算在病毒入侵检测模型利用hadoop 中的关键技术———Map/Reduce 分布式计算技术,来实现对云平台的警报数据
进行分析计算。
同时它能够同时进行多工作,具有很高的容错性,较高的数据分析效率。在云计算平台中,网络数据流量是很大的,网络入侵检测系统所产生地检测数据量也很大,文章通过利用hadoop 系统中的Hbase 分布式数据库来分散存储这些检测数据,解决大量数据单机存储的瓶颈。
参考文献
[1]孙松儿.云计算环境下的安全建设思路[J].信息安全与技术2010.[2]陶善旗.基于Snort 入侵检测系统关联规则挖掘的研究与实现[D].南京:南京航空航天大学,2009.
[3]Barman Bikram.Safe on the Cloud (A Perspective into the Secur-ity Concerns of Cloud Computing)
[A].Siliconindia,2009,12(4):34-35.[4]John Rittinghouse,James Ransome.Cloud Computing:Implementation,Management,and Security[M].2009.[5]
潘利,
郝锦胜.入侵检测系统中检测分析模块的研究[J].武汉理工大学学报,2003,25(8):67-70.
图4Snort ID 截图
40--
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论