本發明公開了一種基于排隊論的分布式入侵檢測系統成本優化方法，具體包括如下步驟：步驟1，對分布式入侵檢測系統進行模型分析和參數設定步驟2，對分布式入侵檢測系統進行狀態空間分析；步驟3，建立生滅過程；步驟4，確定分布式入侵檢測系統平衡狀態下的平穩分布；步驟5，計算分布式入侵檢測系統中的相關技術指標；步驟6，基于步驟5的計算結果進行運行成本分析及優化。本發明通過排隊論計算實現分布式入侵檢測系統運行成本最小化的檢測引擎數量，解決了現有技術中分布式入侵檢測系統運行成本過高的問題。

技術領域

本發明屬于信息安全技術領域，涉及一種基于排隊論的分布式入侵檢測系統成本優化方法。

背景技術

分布式入侵檢測系統((Distributed Intrusion Detection System,DIDS)由調度器和多個檢測引擎組成，由調度器將捕獲的網絡流量分配給檢測引擎進行檢測。排隊論(queuing theory)是研究隨機服務系統工作過程的數學理論和方法。排隊論可以通過對服務對象的到來及服務時間進行統計研究，然后根據技術指標的統計規律來改進服務系統的結構，實現技術指標的最優化。

發明內容

本發明的目的是提供一種基于排隊論的(各檢測引擎處理能力相同的)分布式入侵檢測系統成本優化方法，本發明通過排隊論計算實現分布式入侵檢測系統運行成本最小化的檢測引擎數量，解決了現有技術中分布式入侵檢測系統運行成本過高的問題。

本發明所采用的技術方案是，基于排隊論的分布式入侵檢測系統成本優化方法，具體包括如下步驟：

步驟1，對分布式入侵檢測系統進行模型分析和參數設定

步驟2，對分布式入侵檢測系統進行狀態空間分析；

步驟3，建立生滅過程；

步驟4，確定分布式入侵檢測系統平衡狀態下的平穩分布；

步驟5，計算分布式入侵檢測系統中的相關技術指標；

步驟6，基于步驟5的計算結果進行運行成本分析及優化。

本發明的特點還在于，

步驟1的具體過程為：

設分布式入侵檢測系統內有n個檢測引擎，流量按泊松流到達分布式入侵檢測系統，單位時間內數據包的平均到達數為λ；各檢測引擎獨立工作，檢測時間均為負指數分布，單位時間內各檢測引擎的檢測能力相同，對數據包的檢測數都為μ；設定分布式入侵檢測系統的各個檢測引擎以及待檢隊列對數據包的容量總和為m，其中，m＞n＞1，如果有k個檢測引擎被占用，那么待檢隊列中就有能容納m-kμ個數據包的空間，新到的數據包將進入待檢隊列等待；若待檢隊列已滿，則新來到數據包將被丟棄，不進行模式匹配。

步驟2的具體過程為：

將分布式入侵檢測系統的狀態空間可定義為E＝{0,1,2,...,m}。對于狀態k，可分3種情況：

當0＜k＜nμ時，表示DIDS中已有k/μ個檢測引擎被占用，剩余n-k/μ個檢測引擎空閑，系統剩余容量為m-kμ，因為每個檢測引擎單位時間內數據包的檢測數為μ，所以此時DIDS的總檢測數為kμ；

當nμ≤k≤m時，則表示所有的n個檢測引擎都被占用，新到的數據包需要在待檢隊列中等待，系統剩余容量為m-kμ，此時DIDS的總檢測數為nμ；

當k＞m時，表示所有檢測引擎都被占用，待檢隊列全滿，后續到達的數據包只能丟棄，系統剩余容量為0，此時DIDS的總檢測數為nμ。

步驟3的具體過程為：