一種動態(tài)頻率的數(shù)據(jù)包捕獲方法
【專利摘要】本發(fā)明公開一種動態(tài)頻率的數(shù)據(jù)包捕獲方法，根據(jù)以下公式為每個受監(jiān)控的服務(wù)器群分配抓包頻率：其中，atcpratei為第i個受攻擊服務(wù)器群的分配到的抓包頻率，sfcpratej為第j個未受攻擊服務(wù)器群分配到的抓包頻率，norcpratei為未出現(xiàn)任何攻擊時每個服務(wù)器群可分配到的抓包頻率，dymax是在保證系統(tǒng)有效前提下最大可動態(tài)分配流量，ηi為第i個受攻擊的服務(wù)器群某一設(shè)定時間段內(nèi)抓取的ti個數(shù)據(jù)包當(dāng)中異常包所占的百分比，k為受到攻擊的服務(wù)器群數(shù)目，M為現(xiàn)在可用帶寬，m為M帶寬單位時間內(nèi)共可以抓包的個數(shù)，n為受監(jiān)控服務(wù)器群總數(shù)目。采用本發(fā)明的方法提高了攻擊檢測的效率，降低了攻擊漏報率，減輕了網(wǎng)絡(luò)負(fù)荷，使得一定的帶寬能夠保護(hù)更多機群。
【專利說明】
-種動態(tài)頻率的數(shù)據(jù)包捕獲方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明設(shè)及網(wǎng)絡(luò)安全領(lǐng)域，具體設(shè)及一種動態(tài)頻率的數(shù)據(jù)包捕獲方法。
【背景技術(shù)】
[0002] Internet為資源的共享與信息的交流提供了高效而便捷的全新方式，但同時它也 被占有、偷竊、甚至毀壞他人的計算機信息系統(tǒng)資源的入侵者所利用，使得網(wǎng)絡(luò)中的信息資 源面臨著嚴(yán)重的安全威脅。為了保證網(wǎng)絡(luò)信息系統(tǒng)的安全，人們從很多方面都采取了一定 的措施，運些措施共同構(gòu)成了網(wǎng)絡(luò)安全防御體系。入侵檢測（Intrusion Detection)技術(shù)是 網(wǎng)絡(luò)安全防御體系的一種核屯、技術(shù)。它將原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)來源，依照一定的安 全策略，通過軟、硬件對其進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，W 保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。
[0003] 自從20世紀(jì)80年代James Anderson首先提出入侵檢測概念W來，入侵檢測作為網(wǎng) 絡(luò)安全的一個組件獲得了極大的發(fā)展，許多研發(fā)機構(gòu)和安全廠商都在進(jìn)行運方面的研究和 開發(fā)，推出了很多相應(yīng)的產(chǎn)品。針對每一個受監(jiān)控的服務(wù)器群，運些產(chǎn)品大都采取平均分配 計算資源的策略，也即分配給每個受監(jiān)控的服務(wù)器群的抓包頻率是相同的。但是每個受監(jiān) 控的服務(wù)器群的受到入侵的危險度是不一樣的，相對危險度低的服務(wù)器群來說，危險度高 的服務(wù)器群需要更多的資源進(jìn)行監(jiān)測，因此現(xiàn)有的固定平均分配資源的監(jiān)控方法存在資源 分配不合理，攻擊檢測的效率低、漏報率高，基于一定的帶寬能夠保護(hù)的機群少等問題。

【發(fā)明內(nèi)容】

[0004] 本發(fā)明的目的是解決現(xiàn)有技術(shù)的缺陷，提供一種能提高攻擊檢測的效率、減輕網(wǎng) 絡(luò)負(fù)荷，使得一定的帶寬能夠保護(hù)更多機群的數(shù)據(jù)包捕獲方法，采用的技術(shù)方案如下：
[0005] -種動態(tài)頻率的數(shù)據(jù)包捕獲方法，根據(jù)W下公式為每個受監(jiān)控的服務(wù)器群分配抓 包頻率：
[0006] atcpratei = norcpratei+ni*dymax/k
[0007]
[000引其中，atcpratei為第i個受攻擊服務(wù)器群的分配到的抓包頻率，sfcpratej為第j個 未受攻擊服務(wù)器群分配到的抓包頻率，norcpratei為未出現(xiàn)任何攻擊時每個服務(wù)器群可分 配到的抓包頻率，dymax是在保證系統(tǒng)有效前提下最大可動態(tài)分配流量，rii為第i個受攻擊 的服務(wù)器群某一設(shè)定時間段內(nèi)抓取的ti個數(shù)據(jù)包當(dāng)中異常包所占的百分比，k為受到攻擊 的服務(wù)器群數(shù)目，Μ為現(xiàn)在可用帶寬，m為Μ帶寬單位時間內(nèi)共可W抓包的個數(shù)，η為受監(jiān)控服 務(wù)器群總數(shù)目。
[0009] 在沒有服務(wù)器群受到攻擊時，m是平均分配到η個受監(jiān)控服務(wù)器群上面，有
[0010]
[0011] 單位時間內(nèi)最多可w抓包m個，設(shè)定要保證系統(tǒng)的有效性，針對每個為受攻擊服務(wù) 器群最少每單位時間抓包1〇個，那么在保證系統(tǒng)有效前提下最大可動態(tài)分配流量dymax為：
[0012]
[0013] 針對受攻擊的服務(wù)器，首先要保證有效性，然后要根據(jù)當(dāng)前異常包頻率決定當(dāng)前 抓包速度，保證某個服務(wù)器群的異常包頻率大則針對該服務(wù)器群的抓包頻率一起增加，而 且即使增加到最大，也不會影響其他服務(wù)器群的檢測準(zhǔn)確性，有：
[0014] atcpratei = norcpratei+ni*dymax/k
[0015] 在保證所有服務(wù)器群的檢測有效性的前提下，優(yōu)先對受攻擊服務(wù)器群分配資源， 然后對未受攻擊機群分配資源，則未受攻擊的每個服務(wù)器群的抓包頻率為：
[0016]
[0017]采用本發(fā)明的方法能夠減輕網(wǎng)絡(luò)負(fù)荷，使得一定的帶寬能夠保護(hù)更多機群，說明 如下：設(shè)定η。為平均分配計算資源時帶寬Μ可監(jiān)測的服務(wù)器群的數(shù)量，nx為采用本發(fā)明的方 法可增加的被監(jiān)測服務(wù)器群的數(shù)量，la為k個服務(wù)器同時受到攻擊的時候每個服務(wù)器可分 配到的最大抓包頻率臨界值，ki代指受攻擊的第i個服務(wù)器群，貝U [001 引 η = η0+Πχ
[0019] 根據(jù)總的帶寬一定的原則，可W得到如下的關(guān)系：
[0020] m= (n〇+nx)*lo+(la-lo)*k
[0021 ]依據(jù)此關(guān)系可W進(jìn)一步推導(dǎo)出：
[0022]
[0023] 要想使用本發(fā)明的方法能夠增加監(jiān)控服務(wù)器群的數(shù)量，同時滿足k個服務(wù)器群同 時受到攻擊時能夠同時滿足最大抓包頻率為la,同時其他未受攻擊服務(wù)器分配到最低有效 資源，根據(jù)上面的推導(dǎo)，W及由nx>0推導(dǎo)出：
[0024]
4寸，采用本發(fā)明的可增加監(jiān)控服務(wù)器數(shù)量，可 增加的數(shù)量按如下公式計算：
[0025]
[00%]作為優(yōu)選，所述化的獲取包括：
[0027] S11.初始化 cunt_numi = 0、atk_numi = 0、和 ti;
[0028] S12.抓取數(shù)據(jù)包，檢測判斷所抓取的數(shù)據(jù)包是否為入侵包，若是則同時令cunt_ numi = cunt_numi+l，atk_numi = atk_numi+l，若否貝ij令cunt_numi = cunt_numi+l;
[0029] S 1 3 .判斷cun t_numi > t i是否成立，若否則返回S 1 2，若是則按公式
計算化。
[0030] 作為優(yōu)選，本發(fā)明具體包括W下步驟：
[0031] S1.初始化 norcpratei;
[0032 ] S2.初始化 cunt_numi = 0、atk_numi = 0和ti;
[0033] S3.抓取數(shù)據(jù)包；
[0034] S4.檢測判斷所抓取的數(shù)據(jù)包是否為入侵包，若是則同時令cunt_ruimi = cunt_numi +1 ,atk_numi = ￡itk_numi+l,若否貝ij令cunt_numi = cunt_numi+l;
[0035] S5.判斷cunt_numi>ti是否成立，若否則返回S3,若是則按公式
計算化；
[0036] S6 .讀取 ni 按公式 atcpratei = norcpratei + ni*dymax/k 和
修改抓包頻率，返回S2。
[0037] 與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果:本發(fā)明運用蟻群的聚集性思維預(yù)測發(fā)現(xiàn)正 在被攻擊的服務(wù)節(jié)點，然后在保證所有服務(wù)器群的檢測有效性的前提下，優(yōu)先將更多的計 算資源分配到受攻擊的節(jié)點，提高針對該節(jié)點的抓包頻率，更加合理地利用計算資源，提高 了攻擊檢測的效率，降低了攻擊漏報率，使得相同的帶寬能夠保護(hù)更多機群。
【附圖說明】
[0038] 圖1是本發(fā)明的流程圖；
[0039] 圖2是本發(fā)明實施例的仿真實驗結(jié)果示意圖；
[0040] 圖3是本發(fā)明實施例的仿真實驗結(jié)果示意圖。
【具體實施方式】
[0041 ]下面結(jié)合附圖和實施例對本發(fā)明做進(jìn)一步說明。
[00創(chuàng)實施例；
[0043] -種動態(tài)頻率的數(shù)據(jù)包捕獲方法，根據(jù)W下公式為每個受監(jiān)控的服務(wù)器群分配抓 包頻率：
[0044] atcpratei = norcpratei+ru*dymax/k
[0045]
[0046] 其中，at邱ratei為第i個受攻擊服務(wù)器群的分配到的抓包頻率，sfcpratej為第j個 未受攻擊服務(wù)器群分配到的抓包頻率，norcpratei為未出現(xiàn)任何攻擊時每個服務(wù)器群可分 配到的抓包頻率，dymax是在保證系統(tǒng)有效前提下最大可動態(tài)分配流量，ru為第i個受攻擊 的服務(wù)器群某一設(shè)定時間段內(nèi)抓取的ti個數(shù)據(jù)包當(dāng)中異常包所占的百分比，k為受到攻擊 的服務(wù)器群數(shù)目，Μ為現(xiàn)在可用帶寬，m為Μ帶寬單位時間內(nèi)共可W抓包的個數(shù)，η為受監(jiān)控服 務(wù)器群總數(shù)目。
[0047]在沒有服務(wù)器群受到攻擊時，m是平均分配到η個受監(jiān)控服務(wù)器群上面，有 [004引
[0049]單位時間內(nèi)最多可W抓包m個，設(shè)定要保證系統(tǒng)的有效性，針對每個為受攻擊服務(wù) 器群最少每單位時間抓包1〇個，那么在保證系統(tǒng)有效前提下最大可動態(tài)分配流量dymax為：
[(K)加]
[0051] 針對受攻擊的服務(wù)器，首先要保證有效性，然后要根據(jù)當(dāng)前異常包頻率決定當(dāng)前 抓包速度，保證某個服務(wù)器群的異常包頻率大則針對該服務(wù)器群的抓包頻率一起增加，而 且即使增加到最大，也不會影響其他服務(wù)器群的檢測準(zhǔn)確性，有：
[0052] atcpratei = norcpratei+ru*dymax/k
[0053] 在保證所有服務(wù)器群的檢測有效性的前提下，優(yōu)先對受攻擊服務(wù)器群分配資源， 然后對未受攻擊機群分配資源，則未受攻擊的每個服務(wù)器群的抓包頻率為：
[0化4]
[0055] 本實施例能夠減輕網(wǎng)絡(luò)負(fù)荷，使得一定的帶寬能夠保護(hù)更多機群。
[0056] 所述化的獲取包括：
[0化7] S11.初始化 cunt_numi = 0、atk_numi = 0、和 ti;
[005引S12.抓取數(shù)據(jù)包，檢測判斷所抓取的數(shù)據(jù)包是否為入侵包，若是則同時令cunt_ numi = cunt_numi+l，atk_numi = atk_numi+l，若否則令cunt_numi = cunt_numi+l;
[0059] S13.判斷cunt_numi>ti是否成立，若否則返回S12,若是則按公式
計算化。
[0060] 如圖1所示，本實施例具體包括W下步驟：
[0061] S1.初始化 norcpratei;
[0062] S2.初始化 cunt_numi = 0、atk_numi = 0和ti;
[0063] S3.抓取數(shù)據(jù)包；
[0064] S4.檢測判斷所抓取的數(shù)據(jù)包是否為入侵包，若是則同時令cunt_ruimi = cunt_numi +1 ,atk_numi = atk_numi+l,若否則令cunt_numi = cunt_numi+l;
[0065] S5.判斷cun t_numi >ti是否成立，若否則返回S3,若是則按公式
計算化；
[0066] S6 .讀取 ni 按公式 atcpratei = norcpratei + ni*dymax/k 和
修改抓包頻率，返回S2。
[0067]在某次仿真實驗中，設(shè)定有S1、S2和S3共3個服務(wù)器群，總的帶寬為lOOOpackages/ S，m= 1000，k = 2，1〇 = 30，11 < t2。3個服務(wù)器群一開始都未受入侵，此時針對3個服務(wù)器群 的抓包頻率都為w/r/w心^，在某一時刻tl，檢測到S2出現(xiàn)異常并且經(jīng)過一段時間異常 包百分比到達(dá)最大值，然后在另一時刻t2,檢測到S3受到攻擊并且經(jīng)過一段時間異常包百 分比到達(dá)最大值，對應(yīng)計算資源分配公式，針對3個服務(wù)器群的的抓包頻率的變化如圖2所 示:在未受到攻擊時，針對Ξ個服務(wù)器的抓包頻率是一樣的，在第300次統(tǒng)計時，發(fā)現(xiàn)S2受到 入侵，運個時候針對svr2的抓包頻率提高，同時針對svrl和svr3的抓包頻率會下降，當(dāng)在第 400次統(tǒng)計發(fā)現(xiàn)svr3也受到了入侵，運時針對各個服務(wù)器的抓包頻率會再做一次調(diào)整。
[006引在另一次仿真實驗中，設(shè)置6個服務(wù)器群，分別為SV1、SV2、SV3、SV4、SV5和SV6，每 個通過100M的流量。SV3先受到攻擊，異常包百分比由30 %穩(wěn)定到80 %~90 %，然后SV4受到 攻擊，異常百分比為70%，最后是SV6收到攻擊，異常包百分比在30%~70%之間波動。設(shè)定 5000個異常包攻擊SV3,8000個異常包攻擊SV4,14450個異常包攻擊SV6。分別采用傳統(tǒng)的平 均方式分配抓包頻率的方式和本發(fā)明的動態(tài)頻率抓包方式抓取異常包，兩種方式能夠抓到 的異常包數(shù)量對比如圖3所示。結(jié)果顯示，采用本發(fā)明的方式能夠抓到更多的異常包。
【主權(quán)項】
1. 一種動態(tài)頻率的數(shù)據(jù)包捕獲方法，其特征在于，根據(jù)以下公式為每個受監(jiān)控的服務(wù) 器群分配抓包頻率： atcpratei = norcpratei+rii*dymax/k其中，atcpratei為第i個受攻擊服務(wù)器群的分配到的抓包頻率，sfcprat幻為第j個未受 攻擊服務(wù)器群分配到的抓包頻率，n〇rcprateiS未出現(xiàn)任何攻擊時每個服務(wù)器群可分配到 的抓包頻率，dymax是在保證系統(tǒng)有效前提下最大可動態(tài)分配流量，ru為第i個受攻擊的服 務(wù)器群某一設(shè)定時間段內(nèi)抓取的^個數(shù)據(jù)包當(dāng)中異常包所占的百分比，k為受到攻擊的服 務(wù)器群數(shù)目，Μ為現(xiàn)在可用帶寬，m為Μ帶寬單位時間內(nèi)共可以抓包的個數(shù)，η為受監(jiān)控服務(wù)器 群總數(shù)目。2. 根據(jù)權(quán)利要求1所述的一種動態(tài)頻率的數(shù)據(jù)包捕獲方法，其特征在于，所述ru的獲取 包括： SI 1 ·初始化cunt_numi = 0、atk_numi = 0、和ti; S12.抓取數(shù)據(jù)包，檢測判斷所抓取的數(shù)據(jù)包是否為入侵包，若是則同時令cuntjunui cunt_nunu+l，atk_numi = atk_numi+l，若否則令cunt_numi = cunt_numi+l;313.判斷〇11111:_11111^彡1^是否成立，若否則返回312，若是則按公式 1計 算ni〇3. 根據(jù)權(quán)利要求2所述的一種動態(tài)頻率的數(shù)據(jù)包捕獲方法，其特征在于，具體包括以下 步驟： 51 ·初始化 norcpratei; 52 ·初始化 cunt_numi = 0、atk_numi = 0和ti; S3.抓取數(shù)據(jù)包； S4 ·檢測判斷所抓取的數(shù)據(jù)包是否為入侵包，若是則同時令cunt_nunu = cunt_nunu+l， atk_numi = atk_numi+l，若否則令cunt_numi = cunt_numi+l; S5.判斷cunt_nunu彡ti是否成立，若否則返回S3,若是則按公式-算 Hi; S6 ·讀取 Hi 按公式 atcpratei = norcpratei+ru 氺 dymax/k^[ 改抓包頻率，返回S2。
【文檔編號】H04L12/911GK105871820SQ201610172354
【公開日】2016年8月17日
【申請日】2016年3月23日
【發(fā)明人】楊忠明, 賈云富, 秦勇, 余君
【申請人】廣東科學(xué)技術(shù)職業(yè)學(xué)院