[发明专利]一种根据队长自动调节检测方式的IDS理论建模方法

说明书

本发明公开了一种根据队长自动调节检测方式的IDS理论建模方法，具体包括如下步骤：步骤1，对IDS进行参数设定；2，对IDS状态空间分析；步骤3，计算IDS内数据包平均数、等待检测的数据包平均数和正在检测的数据包平均数；步骤4，计算数据包在系统中平均逗留时间和平均排队等待时间。采用该方法建立的IDS模型，能够自动根据待检队列长度调节对多媒体包的检测方式。本发明解决了现有技术中只能根据丢包率来调节对多媒体包的检测方式带来的反应延迟问题。

技术领域

本发明属于信息安全技术领域，涉及一种根据队长自动调节检测方式的IDS理论建模方法。

背景技术

入侵检测系统(Intrusion Detection System,IDS)是一种普遍使用的网络安防设备，可以将捕获的网络流量由检测引擎进行安全检测。在网络流量中，多媒体流量占据较大比例。携带多媒体信息的数据包(以下简称多媒体包)与其他类型的数据包相比安全性较高。所以可以对多媒体包采取单独且简便的检测方式。现有技术中只能根据丢包率来调节对多媒体包的检测,该检测方式会使系统反应存在延迟。

发明内容

本发明的目的是提供一种根据队长自动调节检测方式的IDS理论建模方法，采用该方法建立的IDS模型，能够自动根据待检队列长度调节对多媒体包的检测方式，解决了现有技术中只能根据丢包率来调节对多媒体包的检测方式带来的反应延迟问题。

本发明所采用的技术方案是，一种根据队长自动调节检测方式的IDS理论建模方法，具体包括如下步骤：

步骤1，对IDS进行参数设定；

步骤2，对IDS状态空间分析；

步骤3，计算IDS内数据包平均数、等待检测的数据包平均数和正在检测的数据包平均数；

步骤4，计算数据包在系统中平均逗留时间和平均排队等待时间。

本发明的特点还在于，

步骤1的具体过程为：

设单位时间内平均有λ个数据包到达IDS，IDS可以根据待检队列的长度，自动调节对多媒体包的检测方式，具体为：

当待检队列的长度小于等于n时，IDS对多媒体包进行保守检测，设此时IDS在单位时间内的检测数为μ₁；

当待检队列的长度超过n时，IDS对多媒体包进行单独检测，设此时IDS在单位时间内的检测数为μ₂。

步骤2的具体过程为：

设p_k为待检队列的长度为k的概率，用ρ₁＝λ/μ₁表示检测引擎对多媒体包进行保守检测的检测强度，用ρ₂＝λ/μ₂表示检测引擎对多媒体包进行单独检测的检测强度，其中，k＝0，1，……；IDS状态空间的分析过程如下：

对于状态0：根据λp₀＝μ₁p₁，得p₁＝ρ₁p₀；

对于状态n-1：根据λp_n-1＝μ₁p_n，得

对于状态n：根据λp_n＝μ₂p_n+1，得

对于状态n+r-1：根据λp_n+r-1＝μ₂p_n+r，得r表示任意数；

因此，对任何状态k，p_k可以通过以下公式(1)表示：