检测引擎处理能力不同的DIDS理论建模方法技术

本发明专利技术公开了一种检测引擎处理能力不同的DIDS理论建模方法，具体包括如下步骤：步骤1，对分布式入侵检测系统进行模型分析和参数设定步骤；2，对分布式入侵检测系统进行状态空间分析；步骤3，计算分布式入侵检测系统中的平均繁忙的检测引擎数、数据包在等待队列中的平均队长、数据包在系统中平均逗留时间、数据包在系统中平均排队等待时间。采用该方法建立模型有利于掌握检测引擎处理能力不同的DIDS在运行过程中诸如平均繁忙的检测引擎数、等待队列中的平均队长等必要参数，利于在此基础上进行决策和优化。行决策和优化。

【技术实现步骤摘要】
检测引擎处理能力不同的DIDS理论建模方法


[0001]本专利技术属于信息安全
，涉及一种检测引擎处理能力不同的DIDS理论建模方法。

技术介绍

[0002]分布式入侵检测系统((Distributed Intrusion Detection System,DIDS)由调度器和多个检测引擎组成，由调度器将捕获的网络流量分配给检测引擎进行检测。现有技术只公开了对各检测引擎处理能力相同的DIDS的建模方法，目前还没有对各检测引擎处理能力不同的DIDS建模方法。

技术实现思路

[0003]本专利技术的目的是提供一种检测引擎处理能力不同的DIDS理论建模方法，采用该方法建立模型有利于掌握系统在运行过程中平均繁忙的检测引擎数、等待队列中的平均队长这些参数，同时有利于在这些参数上进行决策和优化。
[0004]本专利技术所采用的技术方案是，检测引擎处理能力不同的DIDS理论建模方法，具体包括如下步骤：
[0005]步骤1，对分布式入侵检测系统进行模型分析和参数设定；
[0006]步骤2，对分布式入侵检测系统进行状态空间分析；
[0007]步骤3，计算分布式入侵检测系统中的平均繁忙的检测引擎数、数据包在等待队列中的平均队长、数据包在系统中平均逗留时间、数据包在系统中平均排队等待时间。
[0008]本专利技术的特点还在于，
[0009]步骤1的具体过程为：
[0010]设分布式入侵检测系统内有n个检测能力不同的检测引擎，每个检测引擎独立检测，各检测引擎的检测能力分别为μ1,μ2,...,μ
n
；DIDS系统在单位时间内的检测能力为DIDS在单位时间内需要检测的数据包的平均数为λ。
[0011]步骤2的具体过程为：
[0012]下面进行当n＝2时状态空间内所有可能的状态分析；当1个数据包到达DIDS时，如果所有检测引擎全部空闲，调度器将为数据包在2个检测引擎中选择1个进行检测，调度器选择检测引擎1和2的概率分别为和将定义为则假定μ1＞μ2，并且DIDS内到达的数据包在内存中排成1个队；用ρ＝λ/μ表示所有检测引擎都被占用时的检测强度，并记
[0013]步骤2中状态空间中的可能的状态有：
[0014]状态0：表示所有检测引擎空闲；
[0015]状态01：表示有1个数据包需要检测，且被分配给2号检测引擎检测，1号检测引擎
空闲；
[0016]状态10：表示有1个数据包需要检测，且被分配给1号检测引擎检测，2号检测引擎空闲；
[0017]状态2：表示有2个数据包需要检测，且分别被分配给1号和2号检测引擎检测；
[0018]状态3,4，
…
k分别表示有3,4，
…
k个数据包需要检测，其中2个分别被分配给1号和2号检测引擎检测，其余排队等候；
[0019]设p
k
为当DIDS到达平衡后的状态为k的概率；
[0020]对于状态0，有：
[0021]λp0＝μ2p
01
+μ1p
10
ꢀꢀꢀ
(1)；
[0022]对于状态01，有：
[0023][0024]对于状态10，有：
[0025][0026]对于状态2，有：
[0027](λ+μ)p2＝λp
01
+λp
10
+μp3ꢀꢀꢀ
(4)；
[0028]对于状态n，有：
[0029](λ+μ)p
n
＝μp
n+1
+λp
n-1
(n＞2)
ꢀꢀꢀ
(5)。
[0030]步骤3的具体过程为：
[0031]采用如下公式(6)计算平均繁忙的检测引擎数L
s
：
[0032][0033]采用如下公式(7)计算数据包在等待队列中的平均队长L
q
：
[0034][0035]采用如下公式(8)计算数据包在系统中平均逗留时间W
s
，具体计算过程如下：
[0036][0037]采用如下公式(9)计算数据包在系统中平均排队等待时间W
q
，具体计算过程如下：
[0038][0039]本专利技术的有益效果是，本专利技术通过排队论对各检测引擎处理能力不同的分布式入侵检测系统建立数学模型，解决了现有建模方法中只能对DIDS中各检测引擎处理能力相同的建模方式的局限。采用本专利技术提供的方法建立模型有利于掌握系统在运行过程中的必要参数，利于在此基础上进行决策和优化。
具体实施方式
[0040]下面结合具体实施方式对本专利技术进行详细说明。
[0041]本专利技术是检测引擎处理能力不同的DIDS理论建模方法，具体按照以下步骤实施：
[0042]步骤1，对分布式入侵检测系统进行模型分析和参数设定。设分布式入侵检测系统内有n个检测能力不同的检测引擎，每个检测引擎独立检测，它们的检测能力(即在单位时间内对数据包的检测数量)分别为μ1,μ2,
…
,μ
n
；DIDS系统在单位时间内的检测能力为DIDS在单位时间内需要检测的数据包的平均数为λ。
[0043]步骤2，对分布式入侵检测系统进行状态空间分析。以n＝2(即DIDS有2个检测引擎)为例进行状态空间内所有可能的状态分析。当1个数据包到达DIDS时，如果所有检测引擎全部空闲，调度器将为数据包在2个检测引擎中选择1个进行检测。调度器选择检测引擎1和2的概率分别为和将定义为则假定μ1＞μ2，并且DIDS内到达的数据包在内存中排成1个队。用ρ＝λ/μ表示所有检测引擎都被占用时的检测强度，并记状态空间中可能的状态有：
[0044]状态0：表示所有检测引擎空闲；
[0045]状态01：表示有1个数据包需要检测，且被分配给2号检测引擎检测，1号检测引擎空闲；
[0046]状态10：表示有1个数据包需要检测，且被分配给1号检测引擎检测，2号检测引擎空闲；
[0047]状态2：表示有2个数据包需要检测，且分别被分配给1号和2号检测引擎检测；
[0048]状态3,4，
…
k分别表示有3,4，
…
k个数据包需要检测，其中2个分别被分配给1号和2号检测引擎检测，其余排队等候。
[0049]设p
k
为当DIDS到达平衡后的状态为k的概率，
[0050]对于状态0，有：
[0051]λp0＝μ2p
01
+μ1p
10
ꢀꢀꢀ
(1)；
[0052]对于状态01，有：
[0053][0054]对于状态10，有：
[0055][0056]对于状态2，有：
[0057](λ+μ)p2＝λp
01
+λp
10
+μp3ꢀꢀꢀ
(4)本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.检测引擎处理能力不同的DIDS理论建模方法，其特征在于：具体包括如下步骤：步骤1，对分布式入侵检测系统进行模型分析和参数设定；步骤2，对分布式入侵检测系统进行状态空间分析；步骤3，计算分布式入侵检测系统中的平均繁忙的检测引擎数、数据包在等待队列中的平均队长、数据包在系统中平均逗留时间、数据包在系统中平均排队等待时间。2.根据权利要求1所述的检测引擎处理能力不同的DIDS理论建模方法，其特征在于：所述步骤1的具体过程为：设分布式入侵检测系统内有n个检测能力不同的检测引擎，每个检测引擎独立检测，各检测引擎在单位时间内对数据包的检测数量分别为μ1,μ2,...,μ
n
；DIDS系统在单位时间内对数据包的检测数量为DIDS在单位时间内需要检测的数据包的平均数为λ。3.根据权利要求2所述的检测引擎处理能力不同的DIDS理论建模方法，其特征在于：所述步骤2的具体过程为：下面进行当n＝2时的状态空间内所有可能的状态分析；当1个数据包到达DIDS时，如果所有检测引擎全部空闲，调度器将为数据包在2个检测引擎中选择1个进行检测，调度器选择检测引擎1和2的概率分别为和将定义为则假定μ1＞μ2，并且DIDS内到达的数据包在内存中排成1个队；用ρ＝λ/μ表示所有检测引擎都被占用时的检测强度，并记4.根据权利要求3所述的检测引擎处理能力不同的DIDS理论建模方法，其特征在于：所述步骤2中状态空间中的可能的状态有：状态0：表示所有检测引擎空闲；状态01：表示有1个数据包需要检测，且被分配给2号检测引擎检测，1号检测引擎空闲；状态10：表示有1个数据包需要检测，且被分配给1号检测引擎检...

【专利技术属性】
技术研发人员：赵旭，江晋，赵子江，
申请(专利权)人：西安工程大学，
类型：发明
国别省市：