本发明专利技术公开一种动态频率的数据包捕获方法,根据以下公式为每个受监控的服务器群分配抓包频率:atcpratei=norcpratei+ηi*dymax/k sfcprate j = m - Σ i = 1 k atcprate i n - k ]]>其中,atcpratei为第i个受攻击服务器群的分配到的抓包频率,sfcpratej为第j个未受攻击服务器群分配到的抓包频率,norcpratei为未出现任何攻击时每个服务器群可分配到的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,ηi为第i个受攻击的服务器群某一设定时间段内抓取的ti个数据包当中异常包所占的百分比,k为受到攻击的服务器群数目,M为现在可用带宽,m为M带宽单位时间内共可以抓包的个数,n为受监控服务器群总数目。采用本发明专利技术的方法提高了攻击检测的效率,降低了攻击漏报率,减轻了网络负荷,使得一定的带宽能够保护更多机群。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体涉及一种动态频率的数据包捕获方法。
技术介绍
Internet为资源的共享与信息的交流提供了高效而便捷的全新方式,但同时它也被占有、偷窃、甚至毁坏他人的计算机信息系统资源的入侵者所利用,使得网络中的信息资源面临着严重的安全威胁。为了保证网络信息系统的安全,人们从很多方面都采取了一定的措施,这些措施共同构成了网络安全防御体系。入侵检测(Intrusion Detection)技术是网络安全防御体系的一种核心技术。它将原始的网络数据包作为数据来源,依照一定的安全策略,通过软、硬件对其进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。自从20世纪80年代James Anderson首先提出入侵检测概念以来,入侵检测作为网络安全的一个组件获得了极大的发展,许多研发机构和安全厂商都在进行这方面的研究和开发,推出了很多相应的产品。针对每一个受监控的服务器群,这些产品大都采取平均分配计算资源的策略,也即分配给每个受监控的服务器群的抓包频率是相同的。但是每个受监控的服务器群的受到入侵的危险度是不一样的,相对危险度低的服务器群来说,危险度高的服务器群需要更多的资源进行监测,因此现有的固定平均分配资源的监控方法存在资源分配不合理,攻击检测的效率低、漏报率高,基于一定的带宽能够保护的机群少等问题。
技术实现思路
本专利技术的目的是解决现有技术的缺陷,提供一种能提高攻击检测的效率、减轻网络负荷,使得一定的带宽能够保护更多机群的数据包捕获方法,采用的技术方案如下:一种动态频率的数据包捕获方法,根据以下公式为每个受监控的服务器群分配抓包频率:atcpratei=norcpratei+ηi*dymax/ksfcpratej=m-Σi=1katcpratein-k]]>其中,atcpratei为第i个受攻击服务器群的分配到的抓包频率,sfcpratej为第j个未受攻击服务器群分配到的抓包频率,norcpratei为未出现任何攻击时每个服务器群可分配到的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,ηi为第i个受攻击的服务器群某一设定时间段内抓取的ti个数据包当中异常包所占的百分比,k为受到攻击的服务器群数目,M为现在可用带宽,m为M带宽单位时间内共可以抓包的个数,n为受监控服务器群总数目。在没有服务器群受到攻击时,m是平均分配到n个受监控服务器群上面,有norcpratei=mn]]>单位时间内最多可以抓包m个,设定要保证系统的有效性,针对每个为受攻击服务器群最少每单位时间抓包lo个,那么在保证系统有效前提下最大可动态分配流量dymax为:dymax=(mn-lo)*(n-k)]]>针对受攻击的服务器,首先要保证有效性,然后要根据当前异常包频率决定当前抓包速度,保证某个服务器群的异常包频率大则针对该服务器群的抓包频率一起增加,而且即使增加到最大,也不会影响其他服务器群的检测准确性,有:atcpratei=norcpratei+ηi*dymax/k在保证所有服务器群的检测有效性的前提下,优先对受攻击服务器群分配资源,然后对未受攻击机群分配资源,则未受攻击的每个服务器群的抓包频率为:sfcpratej=m-Σi=1katcpratein-k]]>采用本专利技术的方法能够减轻网络负荷,使得一定的带宽能够保护更多机群,说明如下:设定no为平均分配计算资源时带宽M可监测的服务器群的数量,nx为采用本专利技术的方法可增加的被监测服务器群的数量,la为k个服务器同时受到攻击的时候每个服务器可分配到的最大抓包频率临界值,ki代指受攻击的第i个服务器群,则n=no+nx根据总的带宽一定的原则,可以得到如下的关系:m=(no+nx)*lo+(la-lo)*k依据此关系可以进一步推导出:nx=mlo-(la-lo)lok-no]]>要想使用本专利技术的方法能够增加监控服务器群的数量,同时满足k个服务器群同时受到攻击时能够同时满足最大抓包频率为la,同时其他未受攻击服务器分配到最低有效资源,根据上面的推导,以及由nx>0推导出:因此当时,采用本专利技术的可增加监控服务器数量,可增加的数量按如下公式计算:nx=mlo-(la-lo)lo*k-no(lo>0,la>0la>lok<m-lo*nola-lo)0(others).]]>作为优选,所述ηi的获取包括:S11.初始化cunt_numi=0、atk_numi=0、和ti;S12.抓取数据包,检测判断所抓取的数据包是否为入侵包,若是则同时令cunt_numi=cunt_numi+1,atk_numi=atk_numi+1,若否则令cunt_numi=cunt_numi+1;S13.判断cunt_numi≥ti是否成立,若否则返回S12,若是则按公式计算ηi。作为优选,本专利技术具体包括以下步骤:S1.初始化norcpratei;S2.初始化cunt_numi=0、atk_numi=0和ti;S3.抓取数据包;S4.检测判断所抓取的数据包是否为入侵包,若是则同时令cunt_numi=cunt_numi+1,atk_numi=atk_numi+1,若否则令cunt_numi=cunt_numi+1;S5.判断cunt_numi≥ti是否成立,若否则返回S3,若是则按公式计算ηi;S6.读取ηi按公式atcpratei=norcpratei+ηi*dymax/k和修改抓包频率,返回S2。与现有技术相比,本专利技术的有益效果:本专利技术运用蚁群的聚集性思维预测发现正在被攻击的服务节点,然后在保证所有服务器群的检测有效性的前提下,优先将更多的计算资源分配到受攻击的节点,提高针对该节点的抓包频率,更加合理地利用计算资源,提高了攻击检测的效率,降低了攻击漏报率,使得相同的带宽能够保护更多机群。附图说明图1是本专利技术的流程图;图2是本专利技术实施例的仿真实验结果示意图;图3是本专利技术实施例的仿真实验结果示意图。具体实施方式下面结合附图和实施例对本专利技术做进一步说明。实施例:一种动态频率的数据包捕获方法,根据以下公式为每个受监控的服务器群分配抓包频率:atcpratei=norcpratei+ηi*dymax/ksfcpratej=m-Σi=1katcpratein-k]]>其中,atcpratei为第i个受攻击服务器群的分配到的抓包频率,sfcpratej为第j个未受攻击服务器群分配到的抓包频率,norcpratei为未出现任何攻击时每个服务器群可分配到的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,ηi为第i个受攻击的服务器群某一设定时间段内抓取的ti个数据包当中异常包所占的百分比,k为受到攻击的服务器群数目,M为现在可用带宽,m为M带宽单位时间内共可以抓包的个数,n为受监控服务器群总数目。在没有服务器群受到攻击时,m是平均分配到n个受监控服务器群上面,有norcpratei=mn]]>单位时间内最多可以抓包m个,设定要保证系统的有效性,针对每个为受攻击服务器群最少每单位时间抓包lo个,那么在保证系统有效前提下最大可动态分配流量dymax为:dymax=(mn-lo)*(n本文档来自技高网...
【技术保护点】
一种动态频率的数据包捕获方法,其特征在于,根据以下公式为每个受监控的服务器群分配抓包频率:atcpratei=norcpratei+ηi*dymax/ksfcpratej=m-Σi=1katcpratein-k]]>其中,atcpratei为第i个受攻击服务器群的分配到的抓包频率,sfcpratej为第j个未受攻击服务器群分配到的抓包频率,norcpratei为未出现任何攻击时每个服务器群可分配到的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,ηi为第i个受攻击的服务器群某一设定时间段内抓取的ti个数据包当中异常包所占的百分比,k为受到攻击的服务器群数目,M为现在可用带宽,m为M带宽单位时间内共可以抓包的个数,n为受监控服务器群总数目。
【技术特征摘要】
1.一种动态频率的数据包捕获方法,其特征在于,根据以下公式为每个受监控的服务器群分配抓包频率:atcpratei=norcpratei+ηi*dymax/ksfcpratej=m-Σi=1katcpratein-k]]>其中,atcpratei为第i个受攻击服务器群的分配到的抓包频率,sfcpratej为第j个未受攻击服务器群分配到的抓包频率,norcpratei为未出现任何攻击时每个服务器群可分配到的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,ηi为第i个受攻击的服务器群某一设定时间段内抓取的ti个数据包当中异常包所占的百分比,k为受到攻击的服务器群数目,M为现在可用带宽,m为M带宽单位时间内共可以抓包的个数,n为受监控服务器群总数目。2.根据权利要求1所述的一种动态频率的数据包捕获方法,其特征在于,所述ηi的获取包括:S11.初始化cunt_numi=0、atk_numi=0、和ti;S12.抓取数据包,...
【专利技术属性】
技术研发人员:杨忠明,贾云富,秦勇,余君,
申请(专利权)人:广东科学技术职业学院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。