【技术实现步骤摘要】
基于排队论的分布式入侵检测系统成本优化方法
本专利技术属于信息安全
,涉及一种基于排队论的分布式入侵检测系统成本优化方法。
技术介绍
分布式入侵检测系统((DistributedIntrusionDetectionSystem,DIDS)由调度器和多个检测引擎组成,由调度器将捕获的网络流量分配给检测引擎进行检测。排队论(queuingtheory)是研究随机服务系统工作过程的数学理论和方法。排队论可以通过对服务对象的到来及服务时间进行统计研究,然后根据技术指标的统计规律来改进服务系统的结构,实现技术指标的最优化。
技术实现思路
本专利技术的目的是提供一种基于排队论的(各检测引擎处理能力相同的)分布式入侵检测系统成本优化方法,本专利技术通过排队论计算实现分布式入侵检测系统运行成本最小化的检测引擎数量,解决了现有技术中分布式入侵检测系统运行成本过高的问题。本专利技术所采用的技术方案是,基于排队论的分布式入侵检测系统成本优化方法,具体包括如下步骤:步骤1,对分布式入侵检测系统进行模型分析和参数设定...
【技术保护点】
1.基于排队论的分布式入侵检测系统成本优化方法,其特征在于:具体包括如下步骤:/n步骤1,对分布式入侵检测系统进行模型分析和参数设定/n步骤2,对分布式入侵检测系统进行状态空间分析;/n步骤3,建立生灭过程;/n步骤4,确定分布式入侵检测系统平衡状态下的平稳分布;/n步骤5,计算分布式入侵检测系统中的相关技术指标;/n步骤6,基于步骤5的计算结果进行运行成本分析及优化。/n
【技术特征摘要】
1.基于排队论的分布式入侵检测系统成本优化方法,其特征在于:具体包括如下步骤:
步骤1,对分布式入侵检测系统进行模型分析和参数设定
步骤2,对分布式入侵检测系统进行状态空间分析;
步骤3,建立生灭过程;
步骤4,确定分布式入侵检测系统平衡状态下的平稳分布;
步骤5,计算分布式入侵检测系统中的相关技术指标;
步骤6,基于步骤5的计算结果进行运行成本分析及优化。
2.根据权利要求1所述的基于排队论的分布式入侵检测系统成本优化方法,其特征在于:所述步骤1的具体过程为:
设分布式入侵检测系统内有n个检测引擎,流量按泊松流到达分布式入侵检测系统,单位时间内数据包的平均到达数为λ;各检测引擎独立工作,检测时间均为负指数分布,单位时间内各检测引擎的检测能力相同,对数据包的检测数都为μ;设定分布式入侵检测系统的各个检测引擎以及待检队列对数据包的容量总和为m,其中,m>n>1,如果有k个检测引擎被占用,那么待检队列中就有能容纳m-kμ个数据包的空间,新到的数据包将进入待检队列等待;若待检队列已满,则新来到数据包将被丢弃,不进行模式匹配。
3.根据权利要求2所述的基于排队论的分布式入侵检测系统成本优化方法,其特征在于:所述步骤2的具体过程为:
将分布式入侵检测系统的状态空间可定义为E={0,1,2,...,m},对于状态k,可分3种情况:
当0<k<nμ时,表示DIDS中已有k/μ个检测引擎被占用,剩余n-k/μ个检测引擎空闲,系统剩余容量为m-kμ,因为每个检测引擎单位时间内数据包的检测数为μ,所以此时DIDS的总检测数为kμ;
当nμ≤k≤m时,则表示所有的n个检测引擎都被占用,新到的数据包需要在待检队列中等待,系统剩余容量为m-kμ,此时DIDS的总检测数为nμ;
当k>m时,表示所有检测引擎都被占用,待检队列全满,后续到达的数据包只能丢弃,系统剩余容量为0,此时DIDS的总检测数为nμ。
4.根据权利要求3所述的基于排队论的分布式入侵检测系统成本优化方法,其特征在于:所述步骤3的具体过程为:
当μ=1时,即每个检测引擎单位时间内只处理1个数据包,对于状态k,其中,0<k<n,如果有新到的处理任务,可以转移到状态k+1;如果状态k完成当前一个处理任务,可以回到状态k-1;那么从k转移到k-1的转移强度是kμ;
设ρk=λ/kμ为状态k下DIDS的负荷强度,则ρ=λ/nμ表示所有检测引擎都被占用时的负荷强度,并且ρ1=λ/μ,ρ=ρ1/n;
当DIDS的运行到达平衡状态后,对任一状态,单位时间内进入和离开该状态的平均次数应该相等。
5.根据权利要求4所述的基于排队论的分布式入侵检测系统成本优化方法,其特征在于:所述步骤4的具体过程为:
设pk为当DIDS到达平衡后的状态为k的概率,其中,k=0,1,……,那么可得出DIDS平衡状态下的平稳分布:
对状态0,因为λp0=μp1,所以p1=ρ1p0;
对状态n,因为λpn=nμpn+1,所以
对状态m-1,因为λpm-1=...
【专利技术属性】
技术研发人员:赵旭,江晋,赵子江,
申请(专利权)人:西安工程大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。