CN108494730A - 改进选择算子的nids多媒体包多线程择危处理方法 - Google Patents

Abstract

本发明改进选择算子的NIDS多媒体包多线程择危处理方法，步骤是：1)从初始多媒体包序列中对危险系数设定，标记负载；2)找出危险系数最高的多媒体包及危险系数；3)按照危险系数排序；4)计算排序后多媒体包危险系数总和；5)计算每种类型多媒体包被选取概率；6)通过轮盘赌选择算法得到新多媒体包序列；7)编码；8)交叉变异运算；9)找出危险系数最高、最低的多媒体包及危险系数；10)比较用危险系数；11)替换新的多媒体包序列中危险系数最低的多媒体包；12)重复步骤3‑步骤11，产生更新的多媒体包序列；13)按负载大小降序排列，向系统各线程中加入多媒体包序列；14)将超出的多媒体包安装到下一线程中。

Description

改进选择算子的NIDS多媒体包多线程择危处理方法

技术领域

本发明属于网络安全技术领域，涉及一种改进选择算子的NIDS多媒体包多线程择危处理方法。

背景技术

近年来，国际国内网络安全领域硝烟四起，网络安全事故频频曝出，网络入侵检测系统(NIDS)作为一种有效的防护手段，能够快速发现网络攻击的发生，但是随着网络速度的提高，网络入侵检测系统常会因来不及检测而出现多媒体包(全称为多媒体数据包)丢包、漏检的状况，当漏检不可避免时，如何将危险降至最低，是亟待解决的问题。

《一种基于遗传算法的网络入侵多媒体包多线程择危方法》的专利申请，(申请号为201510702919.X，公开号CN105224866A)。随着网络速度的提高，多媒体包在网络流量中所占比例越来越大，因为多媒体信息种类较多，而且不同类型多媒体数据的安全性相差较大，在系统处理能力有限的前提下，当网络流量过大、丢包已不可避免时，应当挑选危险度高的多媒体包优先处理，而不应将其一视同仁。

发明内容

本发明的目的是提供一种改进选择算子的NIDS多媒体包多线程择危处理方法，解决了现有技术中存在的网络入侵检测系统无法根据多媒体包的危险系数择危处理，以及可能存在的危险系数较高的多媒体包在选择过程中被漏选的问题。

本发明所采用的技术方案是，一种改进选择算子的NIDS多媒体包多线程择危处理方法，对某个时间片内捕获的多媒体包，具体按照以下步骤实施：

步骤1、在发明专利《一种基于遗传算法的网络入侵多媒体包多线程择危方法》公开的技术基础上，设在某个时间片内捕获的初始多媒体包序列为P＝{p₁,p₂,...,p_n}，对不同类型多媒体包危险系数进行设定，将每个多媒体包的危险系数记为D(P_i)；同时，将每个多媒体包对系统带来的负载分别记为L(P_i)∈(0,LT]，其中LT为每个线程的负载；

步骤2、从初始多媒体包序列中找出危险系数最高的多媒体包对应的危险系数记为D(P)_max；

步骤3、将当前多媒体包序列中所有多媒体包按照危险系数D(P_i)由大到小排序，排序后的多媒体包序列记为P′＝{p₁′,p′₂,...,p′_n}，其中D(P_i-1)>D(P_i)>D(P_i+1)；

步骤4、计算出所有排序后的多媒体包P′＝{p₁′,p′₂,...,p′_n}的危险系数的总和

步骤5、计算出每种类型多媒体包被选取的概率

步骤6、通过轮盘赌选择算法，根据步骤5所得到的概率数值，按照危险系数越大选择概率越大的原则进行n轮选择，并存储最后选择得到的多媒体包序列P″＝{p″₁,p″₂,...,p″_n}；

步骤7、将步骤6得到的多媒体包序列P″＝{p″₁,p″₂,...,p″_n}按照序列编码方式进行编码；

步骤8、通过线性重组方法对步骤7得到的编码进行交叉运算，并通过二进制变异方法进行变异运算，得到新的多媒体包序列P″′＝{p″′₁,p″′₂,...,p″′_n}；

步骤9、在步骤8得到新的多媒体包序列P″′中找出危险系数最高的多媒体包对应的危险系数记为newD(P)_max；同时，找出危险系数最低的多媒体包对应的危险系数记为newD(P)_min；

步骤10、用迄今为止危险系数最高的多媒体包的危险系数D(P)_max与多媒体包序列P″′中危险系数最高的多媒体包的危险系数newD(P)_max进行比较，如果D(P)_max<newD(P)_max，则以作为迄今为止危险系数最高的多媒体包否则维持原样；

步骤11、用迄今为止危险系数最高的多媒体包替换新的多媒体包序列P″′中危险系数最低的多媒体包得到P″″＝{p″″₁,p″″₂,...,p″″_n}；

步骤12、重复以上步骤3-步骤11，每次用最佳负载目标函数和最大危险系数目标函数max∑D_k(P_i)进行评估，m为线程个数，k为MIME协议中多媒体类型数，剔除不符合目标函数的多媒体包；

当循环次数大于最大世代数时结束，产生更新的多媒体包序列P″″′＝{p″″′₁,p″″′₂,...,p″″′_n}；

步骤13、将更新的多媒体包序列P″″′＝{p″″′₁,p″″′₂,...,p″″′_n}按负载大小降序排列，并向系统各线程中加入多媒体包序列P″″′；

步骤14、如线程T_j中所装载多媒体包的负载之和超出该线程负载能力,则将超出的多媒体包安装到线程T_j+1中。

本发明的有益效果是，基于改进选择算子，该改进选择算子的NIDS多媒体包多线程择危处理方法能在漏检发生时，根据不同线程的最大处理能力，按照多媒体包的危险系数择危优先处理，使用该模型能够使网络入侵检测系统将有限的处理能力集中在更危险的多媒体包上。与之前申请的发明专利《一种基于遗传算法的网络入侵多媒体包多线程择危方法》相比，解决了可能存在的危险系数较高的多媒体包在选择过程中被漏选的问题。

具体实施方式

本发明是一种改进选择算子的NIDS多媒体包多线程择危处理方法，处理对象是在某个时间片内捕获的初始多媒体包序列，具体按照以下步骤实施：

步骤1、在发明专利《一种基于遗传算法的网络入侵多媒体包多线程择危方法》公开的技术基础上，设在某个时间片内捕获的初始多媒体包序列为P＝{p₁,p₂,...,p_n}，对不同类型多媒体包危险系数进行设定，将每个多媒体包的危险系数记为D(P_i)；同时，将每个多媒体包对系统带来的负载分别记为L(P_i)∈(0,LT]，其中LT为每个线程的负载；

步骤2、从初始多媒体包序列中找出危险系数最高的多媒体包对应的危险系数记为D(P)_max；

步骤3、将当前多媒体包序列中所有多媒体包按照危险系数D(P_i)由大到小排序，排序后的多媒体包序列记为P′＝{p′₁,p′₂,...,p′_n}，其中D(P_i-1)>D(P_i)>D(P_i+1)；

步骤4、计算出所有排序后的多媒体包P′＝{p′₁,p′₂,...,p′_n}的危险系数的总和

步骤5、计算出每种类型多媒体包被选取的概率

步骤6、通过轮盘赌选择算法，根据步骤5所得到的概率数值，按照危险系数越大选择概率越大的原则进行n轮选择，并存储最后选择得到的多媒体包序列P″＝{p″₁,p″₂,...,p″_n}；

步骤7、将步骤6得到的多媒体包序列P″＝{p″₁,p″₂,...,p″_n}按照序列编码方式进行编码；

步骤8、通过线性重组方法对步骤7得到的编码进行交叉运算，并通过二进制变异方法进行变异运算，得到新的多媒体包序列P″′＝{p″′₁,p″′₂,...,p″′_n}；

步骤9、在步骤8得到新的多媒体包序列P″′中找出危险系数最高的多媒体包对应的危险系数记为newD(P)_max；同时，找出危险系数最低的多媒体包对应的危险系数记为newD(P)_min；

步骤10、用迄今为止危险系数最高的多媒体包的危险系数D(P)_max与多媒体包序列P″′中危险系数最高的多媒体包的危险系数newD(P)_max进行比较，如果D(P)_max<newD(P)_max，则以作为迄今为止危险系数最高的多媒体包否则维持原样；

步骤11、用迄今为止危险系数最高的多媒体包替换新的多媒体包序列P″′中危险系数最低的多媒体包得到P″″＝{p″″₁,p″″₂,...,p″″_n}；

需要强调的是：本申请人之前的专利申请《一种基于遗传算法的网络入侵多媒体包多线程择危方法》中，选择算子采用常规比例选择算子，这种算子的工作方法与本发明步骤4-步骤6一致，其选择原则为：危险系数越大选择概率越大，但是这种方法可能会存在危险系数大的多媒体包因为随机性的问题未被选中，也就是说虽然选择概率大，但是未必一定选中。本发明通过步骤9-步骤11，把危险系数高的多媒体包强行保留，以此解决了之前步骤过程中可能存在的漏选问题。

步骤12、重复以上步骤3-步骤11，每次用最佳负载目标函数和最大危险系数目标函数进行评估，m为线程个数，k为MIME协议中多媒体类型数，k的取值范围为1-191，剔除不符合目标函数的多媒体包；

当循环次数大于最大世代数时结束，产生更新的多媒体包序列P″″′＝{p″″′₁,p″″′₂,...,p″″′_n}；

步骤13、将更新的多媒体包序列P″″′＝{p″″′₁，p″″′₂，...，p″″′_n}按负载大小降序排列，并向系统各线程中加入多媒体包序列P″″′；

步骤14、如线程T_j中所装载多媒体包的负载之和超出该线程负载能力,则将超出的多媒体包安装到线程T_j+1中。

Claims (2)

1.一种改进选择算子的NIDS多媒体包多线程择危处理方法，其特征在于，对某个时间片内捕获的多媒体包，具体按照以下步骤实施：

步骤1、在发明专利《一种基于遗传算法的网络入侵多媒体包多线程择危方法》公开的技术基础上，设在某个时间片内捕获的初始多媒体包序列为P＝{p₁,p₂,...,p_n}，对不同类型多媒体包危险系数进行设定，将每个多媒体包的危险系数记为D(P_i)；同时，将每个多媒体包对系统带来的负载分别记为L(P_i)∈(0,LT]，其中LT为每个线程的负载；

步骤2、从初始多媒体包序列中找出危险系数最高的多媒体包对应的危险系数记为D(P)_max；

步骤3、将当前多媒体包序列中所有多媒体包按照危险系数D(P_i)由大到小排序，排序后的多媒体包序列记为P'＝{p₁',p₂,'...,p_n}，其中D(P_i-1)＞D(P_i)＞D(P_i+1)；

步骤4、计算出所有排序后的多媒体包P'＝{p₁',p'₂,...,p'_n}的危险系数的总和

步骤5、计算出每种类型多媒体包被选取的概率

步骤6、通过轮盘赌选择算法，根据步骤5所得到的概率数值，按照危险系数越大选择概率越大的原则进行n轮选择，并存储最后选择得到的多媒体包序列P”＝{p”₁,p”₂,...,p”_n}；

步骤7、将步骤6得到的多媒体包序列P”＝{p₁”,p”₂,...,p”_n}按照序列编码方式进行编码；

步骤8、通过线性重组方法对步骤7得到的编码进行交叉运算，并通过二进制变异方法进行变异运算，得到新的多媒体包序列P”'＝{p₁”',p”'₂,...,p”'_n}；

步骤9、在步骤8得到新的多媒体包序列P”'中找出危险系数最高的多媒体包对应的危险系数记为newD(P)_max；同时，找出危险系数最低的多媒体包对应的危险系数记为newD(P)_min；

步骤10、用迄今为止危险系数最高的多媒体包的危险系数D(P)_max与多媒体包序列P”'中危险系数最高的多媒体包的危险系数newD(P)_max进行比较，如果D(P)_max<newD(P)_max，则以作为迄今为止危险系数最高的多媒体包否则维持原样；

步骤11、用迄今为止危险系数最高的多媒体包替换新的多媒体包序列P”'中危险系数最低的多媒体包得到P””＝{p₁””,p'”₂,...,p””_n}；

步骤12、重复以上步骤3-步骤11，每次用最佳负载目标函数和最大危险系数目标函数max∑D_k(P_i)进行评估，m为线程个数，k为MIME协议中多媒体类型数，剔除不符合目标函数的多媒体包；

当循环次数大于最大世代数时结束，产生更新的多媒体包序列P””'＝{p””'₁,p””'₂””,...,p””₊-；

步骤13、将更新的多媒体包序列P””'＝{p₁””',p””'₂,...,p””_n}按负载大小降序排列，并向系统各线程中加入多媒体包序列P””'；

步骤14、如线程T_j中所装载多媒体包的负载之和超出该线程负载能力,则将超出的多媒体包安装到线程T_j+1中。

2.根据权利要求1所述的改进选择算子的NIDS多媒体包多线程择危处理方法，其特征在于，所述的步骤12中，k的取值范围为1-191。