CN115801414A - 边缘网络中入侵检测系统设计与调度决策建模方法 - Google Patents

Abstract

本发明公开了一种边缘网络中入侵检测系统设计与调度决策建模方法，该方法能够将部分检测任务卸载到位于边缘服务器上性能和资源更好的入侵检测系统处理，卸载决策建模方法可以根据任务在卸载过程的时延、能耗和当前丢包率3个指标来决定是否卸载。以上方案不仅实现了入侵检测系统在时延、能耗和丢包率3个指标的优化，还能有效降低部署在边缘网络的入侵检测系统的检测压力。

Description

边缘网络中入侵检测系统设计与调度决策建模方法

技术领域

本发明属于网络安全技术领域，涉及一种边缘网络中入侵检测系统设计与调度决策建模方法。

背景技术

边缘计算是一种将计算、存储、处理等功能从集中式云平台下沉至无线网络边缘侧的新型架构模式。由于网络边缘设备的性能和资源受限，部署在边缘网络的入侵检测系统在面临较大流量时会产生严重丢包，所以传统的IDS需要被重新设计，以便能够在资源受限的边缘计算环境中完成流量检测。

发明内容

本发明的目的是提供一种边缘网络中入侵检测系统设计与调度决策建模方法，该方法不仅实现了入侵检测系统在时延、能耗和丢包率3个指标的优化，还能有效降低部署在边缘网络的入侵检测系统的检测压力。

本发明所采用的技术方案是，边缘网络中分布式入侵检测系统(DistributedIntrusion Detection System，DIDS)设计与调度决策建模方法，具体包括如下步骤：

步骤1，建立用于边缘计算环境的DIDS架构；

步骤2，基于步骤1所得结果，对卸载过程建立模型；

步骤3，基于步骤2所得结果，建立时延模型；

步骤4，基于步骤3所得结果，建立能耗模型；

步骤5，基于步骤4所得结果，建立卸载概率模型，决策引擎根据任务的卸载概率情况决定是否将检测任务卸载到边缘服务器上执行。

本发明的特点还在于：

步骤2的具体过程为：

假设卸载模型中有N个独立的检测任务可以被EIDS分配到M个DE去检测，对于持续的网络流量，以会话为基本单位进行任务分配，如果决策引擎经过判断，将检测任务在本地执行，会把任务i是否卸载的标志位x_ik设置为0，其中i∈{1,2,…,N}并且k∈{1,2,…,M}，如果决策引擎决定将检测任务卸载到EIDS执行，那么x_ik的值会被设置为1；这样，对于N个检测任务和M个DE来说，这些标志位会形成任务分配矩阵X＝{x_ik}∈{0,1}^N×(M+1)，其中

并且x_k＝[x_1k,x_2k,...,x_Nk]^T。

步骤3中包括对对本地执行的总时延建模和对上传阶段的总时延建模。

步骤4中包括对卸载过程的能耗建模和对本地执行的能耗建模。

步骤5的具体过程为：

对于决策引擎，如果出现以下情况，将把EMIDS的检测任务卸载到EIDS执行：

1)卸载执行比本地执行的时间成本和能耗成本更小；

2)如果EMIDS有丢包，但EIDS没有丢包；

基于上述存在的两种情况，将本地执行和卸载执行在时间和能耗上的差异以及当前丢包率情况作为决策引擎确定是否将任务i卸载执行的决策因素，这些因素可以通过以下公式形成任务i的卸载概率P_i ^of，即：

在上式中，α_t,α_e和α_l分别是时间、能耗和丢包率的权重，PLR^l表示EMIDS的丢包率并且PLR^l>0，PLR^of表示EIDS的丢包率；若P_i ^of值大于50％，决策引擎将决定将任务i卸载执行。

本发明的有益效果是，本发明提出的系统架构可将部分检测任务卸载到位于边缘服务器上性能和资源更好的入侵检测系统处理，卸载决策建模方法可以根据任务在卸载过程的时延、能耗和当前丢包率3个指标来决定是否卸载，以上方案不仅实现了入侵检测系统在时延、能耗和丢包率3个指标的优化，还能有效降低部署在边缘网络的入侵检测系统的检测压力。

附图说明

图1是本发明边缘网络中入侵检测系统设计与调度决策建模方法与单纯本地执行方法的时延对比图；

图2是本发明边缘网络中入侵检测系统设计与调度决策建模方法与单纯本地执行方法的能耗对比图；

图3是本发明边缘网络中入侵检测系统设计与调度决策建模方法与单纯本地执行方法的丢包率对比图。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

本发明用于边缘网络中入侵检测系统设计与调度决策建模方法，具体按照以下步骤实施：

步骤1，建立用于边缘计算环境的DIDS(Distributed Intrusion DetectionSystem,DIDS)的架构；

本发明设计的用于边缘计算环境的DIDS任务卸载架构架构分为边缘层和边缘服务器层。在边缘层，设备的性能受到限制。为了对设备就近检测，边缘微型IDS(Edge microintrusion detection system,EMIDS)被部署在距离设备最近的网络边缘。边缘服务器层作为网络边缘与云的中介，被部署在靠近网络边缘的位置或边缘数据中心，为计算能力不足的边缘设备提供就近计算服务。EMIDS的计算能力有限，在小规则库(small ruledatabase,SRD)的帮助下，可以对边缘设备进行低计算量的检测。

如果遇到大计算量的检测任务，可以由位于边缘层的决策引擎进行决策，判断是否需要卸载给位于边缘服务器层的边缘IDS(edge intrusion detection system,EIDS)处理。边缘IDS(edge intrusion detection system,EIDS)放置在计算性能较好的边缘服务器层中，一个EIDS可以带有多个检测引擎(Detection engine,DE)，帮助多个EMIDS进行任务检测。边缘层和边缘服务器层通过数据传输单元(data transmission unit,DTU)进行数据交换。在DTU中和DTU之间设有缓存，可以降低因网络传输问题导致的数据丢失。

步骤2，基于步骤1所得结果，对卸载过程建立模型；

步骤2的具体过程为：

假设卸载模型中有N个独立的检测任务可以被EIDS分配到M个DE去检测。对于持续的网络流量，可以以会话为基本单位进行任务分配。如果决策引擎经过判断，将检测任务在本地执行，会把任务i是否卸载的标志位x_ik设置为0，其中i∈{1,2,…,N}并且k∈{1,2,…,M}。如果决策引擎决定将检测任务卸载到EIDS执行，那么x_ik的值会被设置为1。这样，对于N个检测任务和M个DE来说，这些标志位会形成任务分配矩阵X＝{x_ik}∈{0,1}^N×(M+1)，其中

并且x_k＝[x_1k,x_2k,...,x_Nk]^T。

步骤3，基于步骤2所得结果，建立时延模型；

步骤3.1，对本地执行的总时延建模；

任务在本地执行的时延仅是EMIDS检测该任务所消耗的时间。设任务i的数据量为D_i，检测任务i所需的CPU周期数为C_i，EMIDS的CPU频率为F^l。通常CPU周期数与所检测的数据量正相关，它们的转换关系即计算—数据比的单位是CPUcycle/byte。那么将任务i在本地执行的时间为T_i ^l＝C_i/F^l，本地执行的总时延为：

步骤3.2，基于步骤3.1所得结果，对上传阶段的总时延建模；

步骤3.2的具体过程为：

如果检测任务i被选择卸载到EIDS执行，从时间上可分为3个阶段：上传阶段、检测阶段、检测结果回传阶段。在上传阶段，任务i的上传数据量仍为D_i，返回的检测结果的数据量为

检测所需的CPU周期数为C_i。设从EMIDS上传到EIDS的网络速率为NS^up，那么任务i上传阶段需要的时间为：

T_i ^up＝D_i/NS^up (2)；

对所有被卸载的任务，上传阶段的总时延为：

步骤3.3，基于步骤3.2所得结果对检测阶段的总时延建模；

在EIDS中，设DE的CPU总时钟频率为F^s，则任务i在检测阶段耗费的时间为：

T_i ^d＝C_i/F^s (4)；

检测阶段的总时延为：

步骤3.4，基于步骤3.3所得结果对回传阶段的总时延建模；

在检测结果回传阶段，设回传的网络速率为NS^dn，则任务i的检测结果需要的回传时间为：

对所有被卸载的任务，回传阶段的总时延为：

步骤3.5，基于步骤3.4所得结果，对整个卸载过程的总时延建模；

整个卸载过程的总时延建模，具体过程为：

对任务i整个卸载过程的时间为：

对于所有被卸载的任务，整个卸载过程的时间为：

那么对于任务i，卸载过程和本地执行的时延差值(T_i-T_i ^l)是决策引擎决定本地执行还是卸载的重要因素之一。

步骤4，基于步骤3所得结果，建立能耗模型；

步骤4.1卸载过程的能耗建模，具体过程为：

在能耗方面决策引擎只需要考虑卸载时，上传和回传过程对边缘设备DTU的能耗和本地执行的能耗哪个更多，不需要考虑在EIDS检测过程的能耗。对任务i，设P^up和P^dn分别为边缘层DTU上传任务和回传结果时的功率，则卸载过程的能耗为:

E_i＝P^upT_i ^up+P^dnT_i ^dn (10)；

对于所有被卸载的任务，整个卸载过程的能耗为：

步骤4.2本地执行的能耗建模，具体过程为：

如果任务i在本地执行，设EMIDS的CPU功率为P^l，将P^l建模为CPU频率F^l的超线性函数，所以本地执行的能耗为：

对于所有本地执行的任务，整个过程的能耗为：

步骤5，基于步骤4所得结果，建立卸载概率模型，决策引擎根据任务的卸载概率情况决定是否将检测任务卸载到边缘服务器上执行。

步骤5的具体过程为：

对于决策引擎，如果出现以下情况，将把EMIDS的检测任务卸载到EIDS执行：

1)卸载执行比本地执行的时间成本和能耗成本更小；

2)如果EMIDS有丢包，但EIDS没有丢包。

基于此，可以将本地执行和卸载执行在时间和能耗上的差异以及当前丢包率(Packet Loss Rate,PLR)情况作为决策引擎确定是否将任务i卸载执行的决策因素，这些因素可以通过以下公式形成任务i的卸载概率P_i ^of，即：

在上式中，α_t,α_e和α_l分别是时间、能耗和丢包率的权重，可以根据3个指标的重要性来设定，PLR^l表示EMIDS的丢包率并且PLR^l>0，PLR^of表示EIDS的丢包率。

如果P_i ^of值大于50％，决策引擎将决定将任务i卸载执行，以减轻本地执行在时间、能耗和丢包率的压力。

下面通过实验证明本发明提出方案的有效性。在实验中，对比本地执行和本发明提出方案在时延、能耗和丢包率方面的变化。权重α_t,α_e和α_l分别设置为1。结果如下所示：

通过图1～图3可以看到，采用本发明方案后，由于选择将部分检测任务卸载到位于边缘服务器，所以该方案在绝大部分网速段上时延、能耗和丢包率三个指标均有优势，而且随着网速的提升，这种优势更明显。

Claims (5)

1.边缘网络中入侵检测系统设计与调度决策建模方法，其特征在于：具体包括如下步骤：

步骤1，建立用于边缘计算环境的DIDS架构；

步骤2，基于步骤1所得结果，对卸载过程建立模型；

步骤3，基于步骤2所得结果，建立时延模型；

步骤4，基于步骤3所得结果，建立能耗模型；

步骤5，基于步骤4所得结果，建立卸载概率模型，决策引擎根据任务的卸载概率情况决定是否将检测任务卸载到边缘服务器上执行。

2.根据权利要求1所述的边缘网络中入侵检测系统设计与调度决策建模方法，其特征在于：所述步骤2的具体过程为：

假设卸载模型中有N个独立的检测任务可以被EIDS分配到M个DE去检测，对于持续的网络流量，以会话为基本单位进行任务分配，如果决策引擎经过判断，将检测任务在本地执行，会把任务i是否卸载的标志位x_ik设置为0，其中i∈{1,2,…,N}并且k∈{1,2,…,M}，如果决策引擎决定将检测任务卸载到EIDS执行，那么x_ik的值会被设置为1；这样，对于N个检测任务和M个DE来说，这些标志位会形成任务分配矩阵X＝{x_ik}∈{0,1}^N×(M+1)，其中

并且x_k＝[x_1k,x_2k,...,x_Nk]^T。

3.根据权利要求2所述的边缘网络中入侵检测系统设计与调度决策建模方法，其特征在于：所述步骤3中包括对对本地执行的总时延建模和对上传阶段的总时延建模。

4.根据权利要求3所述的边缘网络中入侵检测系统设计与调度决策建模方法，其特征在于：所述步骤4中包括对卸载过程的能耗建模和对本地执行的能耗建模。

5.根据权利要求4所述的边缘网络中入侵检测系统设计与调度决策建模方法，其特征在于：所述步骤5的具体过程为：

对于决策引擎，如果出现以下情况，将把EMIDS的检测任务卸载到EIDS执行：

1)卸载执行比本地执行的时间成本和能耗成本更小；

2)如果EMIDS有丢包，但EIDS没有丢包；

基于上述存在的两种情况，将本地执行和卸载执行在时间和能耗上的差异以及当前丢包率情况作为决策引擎确定是否将任务i卸载执行的决策因素，这些因素可以通过以下公式形成任务i的卸载概率P_i ^of，即：

在上式中，α_t、α_e和α_l分别是时间、能耗和丢包率的权重，PLR^l表示EMIDS的丢包率并且PLR^l>0，PLR^of表示EIDS的丢包率；若P_i ^of值大于50％，决策引擎将决定将任务i卸载执行。

Images