随着云计算大规模的应用、移动互联网市场的蓬勃发展以及大数据时代的来临,应用数据量急剧攀升、数据结构趋于松散,使网络信息威胁的攻击面扩大、攻击目标增多、攻击技术“改良”,攻击思想也发生质变：由明显的网络毁坏转为伺机潜伏等待价值信息,这给信息安全防御带来了前所未有的压力。在此背景下,本论文从信息威胁的实际溯源过程出发,提出溯源系统的存储需求,进而选择存储数据库、设计存储方案并进行性能验证,具体从以下几个方面展开：(1)论文对信息威胁按攻击方式进行分类,从网络安全威胁、系统安全威胁和web安全威胁进行特征分析；对溯源过程以动态数据包标记法为例,从原始路径处理、数据包标记处理和路径重构处理三个步骤进行交互分析,得出威胁溯源系统具有实时、高效地存储和管理海量异构化的威胁特征、大量过程数据的需求；(2)论文从存储需求出发进行交互数据库的选择,分析关系型数据在海量化、异构化数据,在高扩展性、高可用性需求面前升级遇到瓶颈；分析非关系型数据库的性能、理念,并对比市场主流的NoSQL数据库,得出文档型数据库MongoDB松散的存储类型、丰富的索引性能、高效的动态查询、自动分片的云级扩展、完善的复制及恢复机制等较能满足溯源存储需求；(3)论文将每类信息威胁的特征进行提炼、整理,分配字段、定义属性名称。先采用关系数据库SQL Server进行传统的分类建表,发现：威胁特征差异较大导致数据库建表数量较大、威胁特征的关联性低导致数据库联表查询困难、威胁特征不断探索但数据库结构固化导致增加字段困难等问题；(4)论文采用MongoDB进行威胁特征信息存储,每类威胁以文档形式存入集合,在存储、查询、修改结构上都较为灵活并进行验证说明和MongoDB VUE可视化展示,在插入时用python连接MongoDB将文件的威胁信息脚本写入数据库,根据插入检验耗时逐渐增加的现状,对比默认索引、唯一索引、联合索引和稀疏索引的改善性能,在威胁特征集合上添加联合索引在录入、查询时效果最佳；(5)论文以隐藏出名的Rootkit为例进行过程数据集存储,为防止受恶意软件攻击或被旁路,在Ubuntu虚拟机进行检测分析。安装监视器获取虚拟机的最高权限,将敏感的内核信息备份并实时检测；用Eric读取VMM的检测日志,脚本写入MongoDB数据库；添加安全文件和xRatt木马,提取检测信息分析其在系统进程、文件存放名称及位置、对敏感内核的影响情况,得出在以文件名建立索引的检测信息中再创建二次索引性能最佳,能在木马破坏程度较低时及时发现。