一种动态频率的数据包捕获方法
【专利摘要】本发明公开一种动态频率的数据包捕获方法,根据以下公式为每个受监控的服务器群分配抓包频率:其中,atcpratei为第i个受攻击服务器群的分配到的抓包频率,sfcpratej为第j个未受攻击服务器群分配到的抓包频率,norcpratei为未出现任何攻击时每个服务器群可分配到的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,ηi为第i个受攻击的服务器群某一设定时间段内抓取的ti个数据包当中异常包所占的百分比,k为受到攻击的服务器群数目,M为现在可用带宽,m为M带宽单位时间内共可以抓包的个数,n为受监控服务器群总数目。采用本发明的方法提高了攻击检测的效率,降低了攻击漏报率,减轻了网络负荷,使得一定的带宽能够保护更多机群。
【专利说明】
-种动态频率的数据包捕获方法
技术领域
[0001 ]本发明设及网络安全领域,具体设及一种动态频率的数据包捕获方法。
【背景技术】
[0002] Internet为资源的共享与信息的交流提供了高效而便捷的全新方式,但同时它也 被占有、偷窃、甚至毁坏他人的计算机信息系统资源的入侵者所利用,使得网络中的信息资 源面临着严重的安全威胁。为了保证网络信息系统的安全,人们从很多方面都采取了一定 的措施,运些措施共同构成了网络安全防御体系。入侵检测(Intrusion Detection)技术是 网络安全防御体系的一种核屯、技术。它将原始的网络数据包作为数据来源,依照一定的安 全策略,通过软、硬件对其进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,W 保证网络系统资源的机密性、完整性和可用性。
[0003] 自从20世纪80年代James Anderson首先提出入侵检测概念W来,入侵检测作为网 络安全的一个组件获得了极大的发展,许多研发机构和安全厂商都在进行运方面的研究和 开发,推出了很多相应的产品。针对每一个受监控的服务器群,运些产品大都采取平均分配 计算资源的策略,也即分配给每个受监控的服务器群的抓包频率是相同的。但是每个受监 控的服务器群的受到入侵的危险度是不一样的,相对危险度低的服务器群来说,危险度高 的服务器群需要更多的资源进行监测,因此现有的固定平均分配资源的监控方法存在资源 分配不合理,攻击检测的效率低、漏报率高,基于一定的带宽能够保护的机群少等问题。
【发明内容】
[0004] 本发明的目的是解决现有技术的缺陷,提供一种能提高攻击检测的效率、减轻网 络负荷,使得一定的带宽能够保护更多机群的数据包捕获方法,采用的技术方案如下:
[0005] -种动态频率的数据包捕获方法,根据W下公式为每个受监控的服务器群分配抓 包频率:
[0006] atcpratei = norcpratei+ni*dymax/k
[0007]
[000引其中,atcpratei为第i个受攻击服务器群的分配到的抓包频率,sfcpratej为第j个 未受攻击服务器群分配到的抓包频率,norcpratei为未出现任何攻击时每个服务器群可分 配到的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,rii为第i个受攻击 的服务器群某一设定时间段内抓取的ti个数据包当中异常包所占的百分比,k为受到攻击 的服务器群数目,Μ为现在可用带宽,m为Μ带宽单位时间内共可W抓包的个数,η为受监控服 务器群总数目。
[0009] 在没有服务器群受到攻击时,m是平均分配到η个受监控服务器群上面,有
[0010]
[0011] 单位时间内最多可w抓包m个,设定要保证系统的有效性,针对每个为受攻击服务 器群最少每单位时间抓包1〇个,那么在保证系统有效前提下最大可动态分配流量dymax为:
[0012]
[0013] 针对受攻击的服务器,首先要保证有效性,然后要根据当前异常包频率决定当前 抓包速度,保证某个服务器群的异常包频率大则针对该服务器群的抓包频率一起增加,而 且即使增加到最大,也不会影响其他服务器群的检测准确性,有:
[0014] atcpratei = norcpratei+ni*dymax/k
[0015] 在保证所有服务器群的检测有效性的前提下,优先对受攻击服务器群分配资源, 然后对未受攻击机群分配资源,则未受攻击的每个服务器群的抓包频率为:
[0016]
[0017]采用本发明的方法能够减轻网络负荷,使得一定的带宽能够保护更多机群,说明 如下:设定η。为平均分配计算资源时带宽Μ可监测的服务器群的数量,nx为采用本发明的方 法可增加的被监测服务器群的数量,la为k个服务器同时受到攻击的时候每个服务器可分 配到的最大抓包频率临界值,ki代指受攻击的第i个服务器群,贝U [001 引 η = η0+Πχ
[0019] 根据总的带宽一定的原则,可W得到如下的关系:
[0020] m= (n〇+nx)*lo+(la-lo)*k
[0021 ]依据此关系可W进一步推导出:
[0022]
[0023] 要想使用本发明的方法能够增加监控服务器群的数量,同时满足k个服务器群同 时受到攻击时能够同时满足最大抓包频率为la,同时其他未受攻击服务器分配到最低有效 资源,根据上面的推导,W及由nx>0推导出:
[0024]
4寸,采用本发明的可增加监控服务器数量,可 增加的数量按如下公式计算:
[0025]
[00%]作为优选,所述化的获取包括:
[0027] S11.初始化 cunt_numi = 0、atk_numi = 0、和 ti;
[0028] S12.抓取数据包,检测判断所抓取的数据包是否为入侵包,若是则同时令cunt_ numi = cunt_numi+l,atk_numi = atk_numi+l,若否贝ij令cunt_numi = cunt_numi+l;
[0029] S 1 3 .判断cun t_numi > t i是否成立,若否则返回S 1 2,若是则按公式
计算化。
[0030] 作为优选,本发明具体包括W下步骤:
[0031] S1.初始化 norcpratei;
[0032 ] S2.初始化 cunt_numi = 0、atk_numi = 0和ti;
[0033] S3.抓取数据包;
[0034] S4.检测判断所抓取的数据包是否为入侵包,若是则同时令cunt_ruimi = cunt_numi +1 ,atk_numi = £itk_numi+l,若否贝ij令cunt_numi = cunt_numi+l;
[0035] S5.判断cunt_numi>ti是否成立,若否则返回S3,若是则按公式
计算化;
[0036] S6 .读取 ni 按公式 atcpratei = norcpratei + ni*dymax/k 和
修改抓包频率,返回S2。
[0037] 与现有技术相比,本发明的有益效果:本发明运用蚁群的聚集性思维预测发现正 在被攻击的服务节点,然后在保证所有服务器群的检测有效性的前提下,优先将更多的计 算资源分配到受攻击的节点,提高针对该节点的抓包频率,更加合理地利用计算资源,提高 了攻击检测的效率,降低了攻击漏报率,使得相同的带宽能够保护更多机群。
【附图说明】
[0038] 图1是本发明的流程图;
[0039] 图2是本发明实施例的仿真实验结果示意图;
[0040] 图3是本发明实施例的仿真实验结果示意图。
【具体实施方式】
[0041 ]下面结合附图和实施例对本发明做进一步说明。
[00创实施例;
[0043] -种动态频率的数据包捕获方法,根据W下公式为每个受监控的服务器群分配抓 包频率:
[0044] atcpratei = norcpratei+ru*dymax/k
[0045]
[0046] 其中,at邱ratei为第i个受攻击服务器群的分配到的抓包频率,sfcpratej为第j个 未受攻击服务器群分配到的抓包频率,norcpratei为未出现任何攻击时每个服务器群可分 配到的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,ru为第i个受攻击 的服务器群某一设定时间段内抓取的ti个数据包当中异常包所占的百分比,k为受到攻击 的服务器群数目,Μ为现在可用带宽,m为Μ带宽单位时间内共可W抓包的个数,η为受监控服 务器群总数目。
[0047]在没有服务器群受到攻击时,m是平均分配到η个受监控服务器群上面,有 [004引
[0049]单位时间内最多可W抓包m个,设定要保证系统的有效性,针对每个为受攻击服务 器群最少每单位时间抓包1〇个,那么在保证系统有效前提下最大可动态分配流量dymax为:
[(K)加]
[0051] 针对受攻击的服务器,首先要保证有效性,然后要根据当前异常包频率决定当前 抓包速度,保证某个服务器群的异常包频率大则针对该服务器群的抓包频率一起增加,而 且即使增加到最大,也不会影响其他服务器群的检测准确性,有:
[0052] atcpratei = norcpratei+ru*dymax/k
[0053] 在保证所有服务器群的检测有效性的前提下,优先对受攻击服务器群分配资源, 然后对未受攻击机群分配资源,则未受攻击的每个服务器群的抓包频率为:
[0化4]
[0055] 本实施例能够减轻网络负荷,使得一定的带宽能够保护更多机群。
[0056] 所述化的获取包括:
[0化7] S11.初始化 cunt_numi = 0、atk_numi = 0、和 ti;
[005引S12.抓取数据包,检测判断所抓取的数据包是否为入侵包,若是则同时令cunt_ numi = cunt_numi+l,atk_numi = atk_numi+l,若否则令cunt_numi = cunt_numi+l;
[0059] S13.判断cunt_numi>ti是否成立,若否则返回S12,若是则按公式
计算化。
[0060] 如图1所示,本实施例具体包括W下步骤:
[0061] S1.初始化 norcpratei;
[0062] S2.初始化 cunt_numi = 0、atk_numi = 0和ti;
[0063] S3.抓取数据包;
[0064] S4.检测判断所抓取的数据包是否为入侵包,若是则同时令cunt_ruimi = cunt_numi +1 ,atk_numi = atk_numi+l,若否则令cunt_numi = cunt_numi+l;
[0065] S5.判断cun t_numi >ti是否成立,若否则返回S3,若是则按公式
计算化;
[0066] S6 .读取 ni 按公式 atcpratei = norcpratei + ni*dymax/k 和
修改抓包频率,返回S2。
[0067]在某次仿真实验中,设定有S1、S2和S3共3个服务器群,总的带宽为lOOOpackages/ S,m= 1000,k = 2,1〇 = 30,11 < t2。3个服务器群一开始都未受入侵,此时针对3个服务器群 的抓包频率都为w/r/w心^,在某一时刻tl,检测到S2出现异常并且经过一段时间异常 包百分比到达最大值,然后在另一时刻t2,检测到S3受到攻击并且经过一段时间异常包百 分比到达最大值,对应计算资源分配公式,针对3个服务器群的的抓包频率的变化如图2所 示:在未受到攻击时,针对Ξ个服务器的抓包频率是一样的,在第300次统计时,发现S2受到 入侵,运个时候针对svr2的抓包频率提高,同时针对svrl和svr3的抓包频率会下降,当在第 400次统计发现svr3也受到了入侵,运时针对各个服务器的抓包频率会再做一次调整。
[006引在另一次仿真实验中,设置6个服务器群,分别为SV1、SV2、SV3、SV4、SV5和SV6,每 个通过100M的流量。SV3先受到攻击,异常包百分比由30 %稳定到80 %~90 %,然后SV4受到 攻击,异常百分比为70%,最后是SV6收到攻击,异常包百分比在30%~70%之间波动。设定 5000个异常包攻击SV3,8000个异常包攻击SV4,14450个异常包攻击SV6。分别采用传统的平 均方式分配抓包频率的方式和本发明的动态频率抓包方式抓取异常包,两种方式能够抓到 的异常包数量对比如图3所示。结果显示,采用本发明的方式能够抓到更多的异常包。
【主权项】
1. 一种动态频率的数据包捕获方法,其特征在于,根据以下公式为每个受监控的服务 器群分配抓包频率: atcpratei = norcpratei+rii*dymax/k其中,atcpratei为第i个受攻击服务器群的分配到的抓包频率,sfcprat幻为第j个未受 攻击服务器群分配到的抓包频率,n〇rcprateiS未出现任何攻击时每个服务器群可分配到 的抓包频率,dymax是在保证系统有效前提下最大可动态分配流量,ru为第i个受攻击的服 务器群某一设定时间段内抓取的^个数据包当中异常包所占的百分比,k为受到攻击的服 务器群数目,Μ为现在可用带宽,m为Μ带宽单位时间内共可以抓包的个数,η为受监控服务器 群总数目。2. 根据权利要求1所述的一种动态频率的数据包捕获方法,其特征在于,所述ru的获取 包括: SI 1 ·初始化cunt_numi = 0、atk_numi = 0、和ti; S12.抓取数据包,检测判断所抓取的数据包是否为入侵包,若是则同时令cuntjunui cunt_nunu+l,atk_numi = atk_numi+l,若否则令cunt_numi = cunt_numi+l;313.判断〇11111:_11111^彡1^是否成立,若否则返回312,若是则按公式 1计 算ni〇3. 根据权利要求2所述的一种动态频率的数据包捕获方法,其特征在于,具体包括以下 步骤: 51 ·初始化 norcpratei; 52 ·初始化 cunt_numi = 0、atk_numi = 0和ti; S3.抓取数据包; S4 ·检测判断所抓取的数据包是否为入侵包,若是则同时令cunt_nunu = cunt_nunu+l, atk_numi = atk_numi+l,若否则令cunt_numi = cunt_numi+l; S5.判断cunt_nunu彡ti是否成立,若否则返回S3,若是则按公式-算 Hi; S6 ·读取 Hi 按公式 atcpratei = norcpratei+ru 氺 dymax/k^[ 改抓包频率,返回S2。
【文档编号】H04L12/911GK105871820SQ201610172354
【公开日】2016年8月17日
【申请日】2016年3月23日
【发明人】杨忠明, 贾云富, 秦勇, 余君
【申请人】广东科学技术职业学院