CN112187553B - 一种根据队长自动调节检测方式的ids理论建模方法 - Google Patents

一种根据队长自动调节检测方式的ids理论建模方法 Download PDF

Info

Publication number
CN112187553B
CN112187553B CN202011127424.6A CN202011127424A CN112187553B CN 112187553 B CN112187553 B CN 112187553B CN 202011127424 A CN202011127424 A CN 202011127424A CN 112187553 B CN112187553 B CN 112187553B
Authority
CN
China
Prior art keywords
detection
ids
multimedia
packets
average number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011127424.6A
Other languages
English (en)
Other versions
CN112187553A (zh
Inventor
赵旭
王卫
江晋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shaanxi Renjiabing Network Technology Co ltd
Original Assignee
Shaanxi Renjiabing Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shaanxi Renjiabing Network Technology Co ltd filed Critical Shaanxi Renjiabing Network Technology Co ltd
Priority to CN202011127424.6A priority Critical patent/CN112187553B/zh
Publication of CN112187553A publication Critical patent/CN112187553A/zh
Application granted granted Critical
Publication of CN112187553B publication Critical patent/CN112187553B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种根据队长自动调节检测方式的IDS理论建模方法,具体包括如下步骤:步骤1,对IDS进行参数设定;2,对IDS状态空间分析;步骤3,计算IDS内数据包平均数、等待检测的数据包平均数和正在检测的数据包平均数;步骤4,计算数据包在***中平均逗留时间和平均排队等待时间。采用该方法建立的IDS模型,能够自动根据待检队列长度调节对多媒体包的检测方式。本发明解决了现有技术中只能根据丢包率来调节对多媒体包的检测方式带来的反应延迟问题。

Description

一种根据队长自动调节检测方式的IDS理论建模方法
技术领域
本发明属于信息安全技术领域,涉及一种根据队长自动调节检测方式的IDS理论建模方法。
背景技术
入侵检测***(Intrusion Detection System,IDS)是一种普遍使用的网络安防设备,可以将捕获的网络流量由检测引擎进行安全检测。在网络流量中,多媒体流量占据较大比例。携带多媒体信息的数据包(以下简称多媒体包)与其他类型的数据包相比安全性较高。所以可以对多媒体包采取单独且简便的检测方式。现有技术中只能根据丢包率来调节对多媒体包的检测,该检测方式会使***反应存在延迟。
发明内容
本发明的目的是提供一种根据队长自动调节检测方式的IDS理论建模方法,采用该方法建立的IDS模型,能够自动根据待检队列长度调节对多媒体包的检测方式,解决了现有技术中只能根据丢包率来调节对多媒体包的检测方式带来的反应延迟问题。
本发明所采用的技术方案是,一种根据队长自动调节检测方式的IDS理论建模方法,具体包括如下步骤:
步骤1,对IDS进行参数设定;
步骤2,对IDS状态空间分析;
步骤3,计算IDS内数据包平均数、等待检测的数据包平均数和正在检测的数据包平均数;
步骤4,计算数据包在***中平均逗留时间和平均排队等待时间。
本发明的特点还在于,
步骤1的具体过程为:
设单位时间内平均有λ个数据包到达IDS,IDS可以根据待检队列的长度,自动调节对多媒体包的检测方式,具体为:
当待检队列的长度小于等于n时,IDS对多媒体包进行保守检测,设此时IDS在单位时间内的检测数为μ1
当待检队列的长度超过n时,IDS对多媒体包进行单独检测,设此时IDS在单位时间内的检测数为μ2
步骤2的具体过程为:
设pk为待检队列的长度为k的概率,用ρ1=λ/μ1表示检测引擎对多媒体包进行保守检测的检测强度,用ρ2=λ/μ2表示检测引擎对多媒体包进行单独检测的检测强度,其中,k=0,1,……;IDS状态空间的分析过程如下:
对于状态0:根据λp0=μ1p1,得p1=ρ1p0
对于状态n-1:根据λpn-1=μ1pn,得
Figure BDA0002734079950000021
对于状态n:根据λpn=μ2pn+1,得
Figure BDA0002734079950000022
对于状态n+r-1:根据λpn+r-1=μ2pn+r,得
Figure BDA0002734079950000023
r表示任意数;
因此,对任何状态k,pk可以通过以下公式(1)表示:
Figure BDA0002734079950000024
另外,通过公式(2)
Figure BDA0002734079950000031
可以推导出p0的值,如公式(3)所示
Figure BDA0002734079950000032
步骤3的具体过程为:
IDS内数据包平均数Ls包括等待检测的数据包平均数Lq和正在检测的数据包平均数Ld,Ls的计算方法如公式(4)所示:
Figure BDA0002734079950000033
正在检测的数据包平均数Ld的计算方法如公式(5)所示:
Ld=1-p0 (5);
等待检测的数据包平均数Lq的计算方法如公式(6)所示:
Figure BDA0002734079950000034
步骤4的具体过程为:
数据包在***中平均逗留时间Ws的计算方法如公式(7)所示:
Figure BDA0002734079950000035
平均排队等待时间Wq的计算方法如公式(8)所示:
Figure BDA0002734079950000036
本发明的有益效果是,采用本发明提供的方法建立根据队长自动调节检测方式的IDS理论模型,能够使IDS自动根据待检队列长度调节对多媒体包的检测方式。本发明解决了现有技术中只能根据丢包率来调节对多媒体包的检测方式带来的反应延迟问题。
具体实施方式
下面结合具体实施方式对本发明进行详细说明。
本发明是一种根据队长自动调节检测方式的IDS理论建模方法,具体按照以下步骤实施:
步骤1,对IDS进行参数设定;
本发明设计的IDS内有检测引擎、规则库和预处理器。检测引擎捕获网络数据包,并通过规则库中的规则对数据包进行安全检测。预处理器有对多媒体类型进行识别的功能。
对于非多媒体包,检测引擎会把规则库中与数据包内通信协议所对应的所有规则进行检测。这种检测方式因为检测规则多,所以检测时间长,但是安全性高。这种检测方式称为保守检测。
本发明将各种类型的多媒体包在规则库中对应的检测规则提取出来,在规则库中建立多媒体规则子库。这样对多媒体包进行检测时只需要检测多媒体类型对应的规则,不检测多媒体包内通信协议所对应的所有规则。因为多媒体包在多媒体规则子库中对应的检测规则较少,所以对多媒体进行区分性的单独检测能够提高效率。这种对多媒体包的检测方法称为单独检测。
单独检测因为检测规则的数量比多媒体包内通信协议所对应的规则数量少,所以检测效率高于保守检测,但是安全性没有保守检测好。IDS在检测压力不大的情况下,也可以将多媒体包不做区分,当作非多媒体包进行保守检测,以此提高安全性。IDS在检测压力大的情况下,可以将多媒体包进行单独检测,以此提高检测效率,避免来不及检测而造成漏检。
设单位时间内平均有λ个数据包到达IDS,IDS可以根据待检队列的长度,自动调节对多媒体包的检测方式。当待检队列的长度小于等于n时,IDS对多媒体包进行保守检测,设此时IDS在单位时间内的检测数为μ1;当待检队列的长度超过n时,IDS对多媒体包进行单独检测,设此时IDS在单位时间内的检测数为μ2
步骤2,对IDS状态空间分析;
设pk(k=0,1,...)为待检队列的长度为k的概率,用ρ1=λ/μ1表示检测引擎对多媒体包进行保守检测的检测强度,用ρ2=λ/μ2表示检测引擎对多媒体包进行单独检测的检测强度,下面对可能的状态进行分析:
状态0:有λp0=μ1p1,可推出p1=ρ1p0
状态n-1:有λpn-1=μ1pn,可推出
Figure BDA0002734079950000051
状态n:有λpn=μ2pn+1,可推出
Figure BDA0002734079950000052
状态n+r-1:有λpn+r-1=μ2pn+r,可推出
Figure BDA0002734079950000053
r表示任意数;
总结可得,对任何状态k,pk可以通过以下公式(1)表示:
Figure BDA0002734079950000054
另外,通过公式(2)
Figure BDA0002734079950000055
可以推导出p0的值,如公式(3)所示
Figure BDA0002734079950000056
步骤3,计算IDS内数据包平均数、等待检测的数据包平均数和正在检测的数据包平均数。IDS内数据包平均数Ls包括等待检测的数据包平均数Lq和正在检测的数据包平均数Ld,Ls的计算方法如公式(4)所示:
Figure BDA0002734079950000061
正在检测的数据包平均数Ld的计算方法如公式(5)所示:
Ld=1-p0 (5);
等待检测的数据包平均数Lq的计算方法如公式(6)所示:
Figure BDA0002734079950000062
步骤4,计算数据包在***中平均逗留时间和平均排队等待时间。数据包在***中平均逗留时间Ws的计算方法如公式(7)所示:
Figure BDA0002734079950000063
平均排队等待时间Wq的计算方法如公式(8)所示:
Figure BDA0002734079950000064

Claims (1)

1.一种根据队长自动调节检测方式的IDS理论建模方法,其特征在于:具体包括如下步骤:
步骤1,对IDS进行参数设定;
所述步骤1的具体过程为:
设单位时间内平均有λ个数据包到达IDS,IDS根据待检队列的长度,自动调节对多媒体包的检测方式;具体为:
当待检队列的长度小于等于n时,IDS对多媒体包进行保守检测,设此时IDS在单位时间内的检测数为μ1
对于非多媒体包,检测引擎会把规则库中与数据包内通信协议所对应的所有规则进行检测,这种检测方式因为检测规则多,所以检测时间长,但是安全性高,这种检测方式称为保守检测;
当待检队列的长度超过n时,IDS对多媒体包进行单独检测,设此时IDS在单位时间内的检测数为μ2
多媒体包在多媒体规则子库中对应的检测规则较少,所以对多媒体进行区分性的单独检测能够提高效率,这种对多媒体包的检测方法称为单独检测;
步骤2,对IDS状态空间分析;
所述步骤2的具体过程为:
设pk为待检队列的长度为k的概率,用ρ1=λ/μ1表示检测引擎对多媒体包进行保守检测的检测强度,用ρ2=λ/μ2表示检测引擎对多媒体包进行单独检测的检测强度,其中,k=0,1,……;IDS状态空间的分析过程如下:
对于状态0:根据λp0=μ1p1,得p1=ρ1p0
对于状态n-1:根据λpn-1=μ1pn,得
Figure FDA0003709135120000021
对于状态n:根据λpn=μ2pn+1,得
Figure FDA0003709135120000022
对于状态n+r-1:根据λpn+r-1=μ2pn+r,得
Figure FDA0003709135120000023
r表示任意数;
因此,对任何状态k,pk可以通过以下公式(1)表示:
Figure FDA0003709135120000024
另外,通过公式(2)
Figure FDA0003709135120000025
可以推导出p0的值,如公式(3)所示
Figure FDA0003709135120000026
步骤3,计算IDS内数据包平均数、等待检测的数据包平均数和正在检测的数据包平均数;
所述步骤3的具体过程为:
IDS内数据包平均数Ls包括等待检测的数据包平均数Lq和正在检测的数据包平均数Ld,Ls的计算方法如公式(4)所示:
Figure FDA0003709135120000027
正在检测的数据包平均数Ld的计算方法如公式(5)所示:
Ld=1-p0 (5);
等待检测的数据包平均数Lq的计算方法如公式(6)所示:
Figure FDA0003709135120000031
步骤4,计算数据包在***中平均逗留时间和平均排队等待时间:
所述步骤4的具体过程为:
数据包在***中平均逗留时间Ws的计算方法如公式(7)所示:
Figure FDA0003709135120000032
平均排队等待时间Wq的计算方法如公式(8)所示:
Figure FDA0003709135120000033
CN202011127424.6A 2020-10-20 2020-10-20 一种根据队长自动调节检测方式的ids理论建模方法 Active CN112187553B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011127424.6A CN112187553B (zh) 2020-10-20 2020-10-20 一种根据队长自动调节检测方式的ids理论建模方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011127424.6A CN112187553B (zh) 2020-10-20 2020-10-20 一种根据队长自动调节检测方式的ids理论建模方法

Publications (2)

Publication Number Publication Date
CN112187553A CN112187553A (zh) 2021-01-05
CN112187553B true CN112187553B (zh) 2022-10-11

Family

ID=73923195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011127424.6A Active CN112187553B (zh) 2020-10-20 2020-10-20 一种根据队长自动调节检测方式的ids理论建模方法

Country Status (1)

Country Link
CN (1) CN112187553B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005012373A (ja) * 2003-06-17 2005-01-13 Nec Corp 平均キュー長算出方式及びプログラム
CN106611298A (zh) * 2016-07-25 2017-05-03 李平 一种基于排队论模型的医院人力资源量化配置方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040107361A1 (en) * 2002-11-29 2004-06-03 Redan Michael C. System for high speed network intrusion detection
JP6161386B2 (ja) * 2013-04-26 2017-07-12 株式会社日立システムズ 待ち行列推定システム、平均待ち時間算出方法、待ち行列長算出方法、平均待ち時間算出プログラムおよび待ち行列長算出プログラム
CN110930747B (zh) * 2018-09-20 2021-11-19 上海丰豹商务咨询有限公司 一种基于云计算技术的智能网联交通服务***
CN111694662B (zh) * 2020-05-26 2023-04-25 陕西森印多西网络科技有限责任公司 基于强化学***衡方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005012373A (ja) * 2003-06-17 2005-01-13 Nec Corp 平均キュー長算出方式及びプログラム
CN106611298A (zh) * 2016-07-25 2017-05-03 李平 一种基于排队论模型的医院人力资源量化配置方法

Also Published As

Publication number Publication date
CN112187553A (zh) 2021-01-05

Similar Documents

Publication Publication Date Title
US8149705B2 (en) Packet communications unit
CN102763386B (zh) 监控***、装置及方法
JP5197583B2 (ja) ネットワークベースのデータ・トラフィックの検出および制御
CN101984608A (zh) 报文拥塞避免方法及***
EP2073457A1 (en) A method and apparatus for preventing igmp message attack
WO2019072072A1 (zh) 一种拥塞流识别方法及网络设备
CN108833430B (zh) 一种软件定义网络的拓扑保护方法
CN107360190B (zh) 基于序列模式识别的木马通信行为检测方法
TW201707417A (zh) 適用於異質網路架構的異常預測方法及系統
CN112187553B (zh) 一种根据队长自动调节检测方式的ids理论建模方法
CN102413054B (zh) 数据流量控制方法、装置及***、网关设备、交换机设备
CN106572103B (zh) 一种基于sdn网络架构的隐藏端口检测方法
CN112953910B (zh) 基于软件定义网络的DDoS攻击检测方法
WO2017062218A1 (en) Wireless data-acknowledgement communication using frame aggregation
JP6376609B2 (ja) アクセス制御装置および認証制御方法
EP2582097A1 (en) Method, apparatus and core network entity for processing network congestion
CN111371689B (zh) 基于深度学习的tcp拥塞控制版本识别方法和装置
CN111800383A (zh) 一种基于SDN的DDos流量检测方法及装置
US20090240832A1 (en) Receiving apparatus, transmitting apparatus, communication system, and method of detecting buffer setting of relay server
CN105282144B (zh) 新型防802.11无线解除认证帧洪水拒绝服务攻击方法
CN101668034B (zh) 实时识别Skype两类语音流的方法
Wang et al. A classifier method for detection of covert channels over lte
CN106612241B (zh) 一种业务控制方法及装置
CN109936551B (zh) 域名***攻击的防御方法、防御装置以及控制器
CN112291217B (zh) 检测引擎处理能力不同的dids理论建模方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220907

Address after: Room 213-1, Zhumeng Chuangxiang Space, Zone A, Sino-Korea Industrial Park, Gaoke 3rd Road, High-tech Industrial Development Zone, Xianyang City, Shaanxi Province 712023

Applicant after: Shaanxi Renjiabing Network Technology Co.,Ltd.

Address before: 710048 Shaanxi province Xi'an Beilin District Jinhua Road No. 19

Applicant before: XI'AN POLYTECHNIC University

GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20210105

Assignee: Shaanxi Xichencai Township Information Technology Co.,Ltd.

Assignor: Shaanxi Renjiabing Network Technology Co.,Ltd.

Contract record no.: X2024980003356

Denomination of invention: A Theoretical Modeling Method for IDS Based on Automatic Adjustment of Detection Method by Captain

Granted publication date: 20221011

License type: Common License

Record date: 20240325