随着计算机网络的发展,网络攻击也在迅速发展,网络安全越来越受到人们的重视和关注.能够检测和处理网络攻击的入侵检测系统(IDS)作为一种重要的安全部件,也得到了长足的进步.IDS需要保存和处理它检测生成的数据以得到可信的结论,数据的规模和种类随着网络流量的增大和网络攻击的发展而增加,达到一定程度以后就形成了海量数据,需要改进数据的组织管理模式以适应海量数据的特征.为了在多个位置追踪大空间跨度的入侵,出现了分布式的IDS,因此引入了IDS节点间的协同问题.另外,为了增强入侵检测的准确性和效率,可以使用数据挖掘的方法对海量数据进行处理,以得到某些能够对IDS的检测或处理过程起到辅助作用的信息.本论文的主要工作是为分布式入侵检测系统COMON设计海量数据存储系统.系统位于入侵检测模块的下游,主要功能是:为检测器Monster与中央分析器RAIRS提供高效可靠的本地数据存储、管理和查询能力;在Monster和RAIRS之间实现安全通用的数据协同传输功能;实现基于分布式攻击数据的数据挖掘功能,增强系统的预警能力和检测能力.论文分为六章.第一章对入侵检测、分布式IDS和协同、数据挖掘技术及其在IDS中的应用进行了概述,并介绍了本文的实现背景--COMON分布式IDS的体系结构,确定了论文的工作目标.第二章分析了DIDS海量数据的特征,并运用数据仓库的理论为数据建立多维模型,分析了模型的参数,设计了COMON系统中海量数据存储的总体结构.第三章至第五章分别对具体的实现模块进行叙述.第三章首先给出了Monster和RAIRS中的数据类型、格式定义和关联关系,然后讲述了在海量数据情况下数据库存储和文件存储的优化方案,进行了性能分析,最后提出了两种数据自动化管理算法:简单生命期算法和基于管理规则加权的算法.第四章主要关心数据的协同传输问题,分析了COMON系统中的协同需求,运用SETRAPL安全传输平台作为底层模块,设计协同通道和数据传输格式,进行分析评价.第五章探讨了数据挖掘技术在IDS中的应用,分别设计了冗余消除模式挖掘、攻击趋势分析和频繁意图串挖掘三种数据挖掘算法,对算法执行结果和应用效果进行了分析.最后一章对本论文工作的内容和贡献作出总结,并且在已完成的工作基础上,对将来的研究目标和研究方向提出了建议.