边缘网络中入侵检测系统设计与调度决策建模方法技术方案

本发明专利技术公开了一种边缘网络中入侵检测系统设计与调度决策建模方法，该方法能够将部分检测任务卸载到位于边缘服务器上性能和资源更好的入侵检测系统处理，卸载决策建模方法可以根据任务在卸载过程的时延、能耗和当前丢包率3个指标来决定是否卸载。以上方案不仅实现了入侵检测系统在时延、能耗和丢包率3个指标的优化，还能有效降低部署在边缘网络的入侵检测系统的检测压力。测系统的检测压力。测系统的检测压力。

【技术实现步骤摘要】
边缘网络中入侵检测系统设计与调度决策建模方法


[0001]本专利技术属于网络安全
，涉及一种边缘网络中入侵检测系统设计与调度决策建模方法。

技术介绍

[0002]边缘计算是一种将计算、存储、处理等功能从集中式云平台下沉至无线网络边缘侧的新型架构模式。由于网络边缘设备的性能和资源受限，部署在边缘网络的入侵检测系统在面临较大流量时会产生严重丢包，所以传统的IDS需要被重新设计，以便能够在资源受限的边缘计算环境中完成流量检测。

技术实现思路

[0003]本专利技术的目的是提供一种边缘网络中入侵检测系统设计与调度决策建模方法，该方法不仅实现了入侵检测系统在时延、能耗和丢包率3个指标的优化，还能有效降低部署在边缘网络的入侵检测系统的检测压力。
[0004]本专利技术所采用的技术方案是，边缘网络中分布式入侵检测系统(Distributed Intrusion Detection System，DIDS)设计与调度决策建模方法，具体包括如下步骤：
[0005]步骤1，建立用于边缘计算环境的DIDS架构；
[0006]步骤2，基于步骤1所得结果，对卸载过程建立模型；
[0007]步骤3，基于步骤2所得结果，建立时延模型；
[0008]步骤4，基于步骤3所得结果，建立能耗模型；
[0009]步骤5，基于步骤4所得结果，建立卸载概率模型，决策引擎根据任务的卸载概率情况决定是否将检测任务卸载到边缘服务器上执行。
[0010]本专利技术的特点还在于：
[0011]步骤2的具体过程为：
[0012]假设卸载模型中有N个独立的检测任务可以被EIDS分配到M个DE去检测，对于持续的网络流量，以会话为基本单位进行任务分配，如果决策引擎经过判断，将检测任务在本地执行，会把任务i是否卸载的标志位x
ik
设置为0，其中i∈{1,2,
…
,N}并且k∈{1,2,
…
,M}，如果决策引擎决定将检测任务卸载到EIDS执行，那么x
ik
的值会被设置为1；这样，对于N个检测任务和M个DE来说，这些标志位会形成任务分配矩阵X＝{x
ik
}∈{0,1}
N
×
(M+1)
，其中并且x
k
＝[x
1k
,x
2k
,...,x
Nk
]T
。
[0013]步骤3中包括对对本地执行的总时延建模和对上传阶段的总时延建模。
[0014]步骤4中包括对卸载过程的能耗建模和对本地执行的能耗建模。
[0015]步骤5的具体过程为：
[0016]对于决策引擎，如果出现以下情况，将把EMIDS的检测任务卸载到EIDS执行：
[0017]1)卸载执行比本地执行的时间成本和能耗成本更小；
[0018]2)如果EMIDS有丢包，但EIDS没有丢包；
[0019]基于上述存在的两种情况，将本地执行和卸载执行在时间和能耗上的差异以及当前丢包率情况作为决策引擎确定是否将任务i卸载执行的决策因素，这些因素可以通过以下公式形成任务i的卸载概率P
iof
，即：
[0020][0021]在上式中，α
t
,α
e
和α
l
分别是时间、能耗和丢包率的权重，PLR
l
表示EMIDS的丢包率并且PLR
l
>0，PLR
of
表示EIDS的丢包率；若P
iof
值大于50％，决策引擎将决定将任务i卸载执行。
[0022]本专利技术的有益效果是，本专利技术提出的系统架构可将部分检测任务卸载到位于边缘服务器上性能和资源更好的入侵检测系统处理，卸载决策建模方法可以根据任务在卸载过程的时延、能耗和当前丢包率3个指标来决定是否卸载，以上方案不仅实现了入侵检测系统在时延、能耗和丢包率3个指标的优化，还能有效降低部署在边缘网络的入侵检测系统的检测压力。
附图说明
[0023]图1是本专利技术边缘网络中入侵检测系统设计与调度决策建模方法与单纯本地执行方法的时延对比图；
[0024]图2是本专利技术边缘网络中入侵检测系统设计与调度决策建模方法与单纯本地执行方法的能耗对比图；
[0025]图3是本专利技术边缘网络中入侵检测系统设计与调度决策建模方法与单纯本地执行方法的丢包率对比图。
具体实施方式
[0026]下面结合附图和具体实施方式对本专利技术进行详细说明。
[0027]本专利技术用于边缘网络中入侵检测系统设计与调度决策建模方法，具体按照以下步骤实施：
[0028]步骤1，建立用于边缘计算环境的DIDS(Distributed Intrusion Detection System,DIDS)的架构；
[0029]本专利技术设计的用于边缘计算环境的DIDS任务卸载架构架构分为边缘层和边缘服务器层。在边缘层，设备的性能受到限制。为了对设备就近检测，边缘微型IDS(Edge micro intrusion detection system,EMIDS)被部署在距离设备最近的网络边缘。边缘服务器层作为网络边缘与云的中介，被部署在靠近网络边缘的位置或边缘数据中心，为计算能力不足的边缘设备提供就近计算服务。EMIDS的计算能力有限，在小规则库(small rule database,SRD)的帮助下，可以对边缘设备进行低计算量的检测。
[0030]如果遇到大计算量的检测任务，可以由位于边缘层的决策引擎进行决策，判断是否需要卸载给位于边缘服务器层的边缘IDS(edge intrusion detection system,EIDS)处理。边缘IDS(edge intrusion detection system,EIDS)放置在计算性能较好的边缘服务器层中，一个EIDS可以带有多个检测引擎(Detection engine,DE)，帮助多个EMIDS进行任务检测。边缘层和边缘服务器层通过数据传输单元(data transmission unit,DTU)进行数
据交换。在DTU中和DTU之间设有缓存，可以降低因网络传输问题导致的数据丢失。
[0031]步骤2，基于步骤1所得结果，对卸载过程建立模型；
[0032]步骤2的具体过程为：
[0033]假设卸载模型中有N个独立的检测任务可以被EIDS分配到M个DE去检测。对于持续的网络流量，可以以会话为基本单位进行任务分配。如果决策引擎经过判断，将检测任务在本地执行，会把任务i是否卸载的标志位x
ik
设置为0，其中i∈{1,2,
…
,N}并且k∈{1,2,
…
,M}。如果决策引擎决定将检测任务卸载到EIDS执行，那么x
ik
的值会被设置为1。这样，对于N个检测任务和M个DE来说，这些标志位会形成本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.边缘网络中入侵检测系统设计与调度决策建模方法，其特征在于：具体包括如下步骤：步骤1，建立用于边缘计算环境的DIDS架构；步骤2，基于步骤1所得结果，对卸载过程建立模型；步骤3，基于步骤2所得结果，建立时延模型；步骤4，基于步骤3所得结果，建立能耗模型；步骤5，基于步骤4所得结果，建立卸载概率模型，决策引擎根据任务的卸载概率情况决定是否将检测任务卸载到边缘服务器上执行。2.根据权利要求1所述的边缘网络中入侵检测系统设计与调度决策建模方法，其特征在于：所述步骤2的具体过程为：假设卸载模型中有N个独立的检测任务可以被EIDS分配到M个DE去检测，对于持续的网络流量，以会话为基本单位进行任务分配，如果决策引擎经过判断，将检测任务在本地执行，会把任务i是否卸载的标志位x
ik
设置为0，其中i∈{1,2,
…
,N}并且k∈{1,2,
…
,M}，如果决策引擎决定将检测任务卸载到EIDS执行，那么x
ik
的值会被设置为1；这样，对于N个检测任务和M个DE来说，这些标志位会形成任务分配矩阵X＝{x
ik
}∈{0,1}
N
×
(M+1)
，其中并且x
k
＝[x
1k
,x
2k
,...,x
...

【专利技术属性】
技术研发人员：赵旭，马硕，江晋，王卫，王立，赵子江，
申请(专利权)人：西安工程大学，
类型：发明
国别省市：