本發明公開了一種具有強占優先檢測權的IDS理論建模方法，具體包括如下步驟：對入侵檢測系統進行模型參數計算；計算第1級數據包的平均排隊等待時間和在系統中平均逗留時間；計算第2級數據包的平均排隊等待時間和在系統中平均逗留時間及1,2級數據包同在系統中時每個數據包的平均逗留時間；計算第3級數據包的平均排隊等待時間、在系統中平均逗留時間和第1～3級數據包同在系統中時每個數據包的平均逗留時間；計算第k級數據包的平均排隊等待時間、在系統中平均逗留時間和第1～k數據包同在系統中時每個數據包的平均逗留時間。本發明提供的一種具有強占優先檢測權的IDS理論建模方法，對具備強占優先檢測權功能的IDS提供了理論支持。

技術領域

本發明屬于信息安全技術領域，涉及一種具有強占優先檢測權的IDS理論建模方法。

背景技術

入侵檢測系統(Intrusion Detection System,IDS)是一種普遍使用的網絡安防設備，可以將捕獲的網絡流量由檢測引擎進行安全檢測。在網絡流量的各種類型數據包中，有一些對實時性要求比較高的流量，需要檢測引擎進行優先檢測，從而降低傳輸延遲、保障傳輸質量。

發明內容

本發明的目的是提供一種具有強占優先檢測權的IDS理論建模方法，采用該方法建立的模型，高優先權的數據包到達后IDS后，如果IDS正在檢測的是較低級別優先權數據包，IDS可以終止對較低級別優先權數據包的檢測，優先檢測高優先權的數據包。

本發明所采用的技術方案是，一種具有強占優先檢測權的IDS理論建模方法，具體包括如下步驟：

步驟1，對入侵檢測系統進行模型參數計算；

步驟2，計算第1級數據包的平均排隊等待時間和第1級數據包在系統中平均逗留時間；

步驟3，計算第2級數據包的平均排隊等待時間、第2級數據包在系統中平均逗留時間和第1,2級數據包同在系統中時每個數據包的平均逗留時間；

步驟4，計算第3級數據包的平均排隊等待時間、第3級數據包在系統中平均逗留時間和第1,2,3級數據包同在系統中時每個數據包的平均逗留時間；

步驟5，計算第k級數據包的平均排隊等待時間、第k級數據包在系統中平均逗留時間和第1,2,…,k數據包同在系統中時每個數據包的平均逗留時間。

本發明的特點還在于，

步驟1的具體過程為：

設入侵檢測系統內對所有不同類型的數據包劃分為N個檢測等級，第1級具有最高優先檢測權，第N級具有最低優先檢測權；設置λ_i為第i級數據包的平均到達率，并且1≤i≤N；IDS中各級數據包的總到達率為μ_i為第i級1個數據包的平均檢測率；S_i為第i級1個數據包需要的平均檢測時間；IDS對每個數據包需要的平均檢測時間為1/μ；

采用如下公式(1)計算S_i的均值

用表示檢測引擎對第i級流量的檢測能力，在任何時候到達系統的數據包屬于第i級的概率為λ_i/λ；

采用如下公式(2)計算IDS對各級數據包的平均檢測時間

其中，為IDS的檢測量。

步驟2的具體過程為：

假定優先權為第1級數據包到達IDS時，可認為系統中只有第1級數據包，其他級別的數據包不會影響第1級數據包的等待或檢測，則第1級數據包在系統中排隊的平均等待時間包括兩部分：

(1)正在排隊等待檢測的所有第1級數據包的平均檢測時間之和；